A modern konténerizációs technológiák, mint a Docker és Kubernetes, alapját képező runC konténer futtatókörnyezetben három újonnan felfedezett sebezhetőség jelent komoly biztonsági kockázatot. Ezek a hibák lehetővé teszik, hogy egy támadó megkerülje az izolációs korlátozásokat, és hozzáférjen a host rendszerhez, akár root jogosultságokkal is.
Mi az a runC és miért fontos?
A runC egy univerzális konténer futtatókörnyezet, amely az Open Container Initiative (OCI) referenciális implementációja. Ez felelős az alacsony szintű műveletekért, mint például a konténer folyamat létrehozása, névterek (namespaces), csatolások (mounts) és csoportok (cgroups) beállítása. Ezeket a funkciókat magasabb szintű eszközök, például a Docker vagy Kubernetes hívják meg, így a runC kulcsfontosságú komponens minden konténer alapú megoldásban.
A felfedezett sebezhetőségek részletes ismertetése
A három biztonsági rés azonosítója: CVE-2025-31133, CVE-2025-52565, és CVE-2025-52881. Ezeket Aleksa Sarai, SUSE szoftvermérnök és az OCI igazgatótanácsának tagja jelentette be és hozta nyilvánosságra.
CVE-2025-31133: /dev/null bind-mount manipuláció
A runC a /dev/null eszközt használja arra, hogy érzékeny host fájlokat “elfedjen” bind-mount segítségével. Ha egy támadó képes a konténer inicializálása közben /dev/null helyett egy szimbolikus linket (symlink) elhelyezni, akkor a runC egy támadó által kontrollált célpontot csatolhat be olvasható-írható módban. Ez lehetővé teszi például írási műveletek végrehajtását a /proc fájlrendszerben, ami komoly konténerből való kitörési lehetőséget biztosít.
CVE-2025-52565: /dev/console bind mount átirányítása
A /dev/console bind mount versenyhelyzetek vagy szimbolikus linkek segítségével átirányítható úgy, hogy a runC egy váratlan célpontot csatoljon be még mielőtt az illetékes védelem érvénybe lépne. Ez ismételten írható hozzáférést biztosíthat kritikus procfs bejegyzésekhez, ami további kitörési lehetőségeket nyit meg.
CVE-2025-52881: Írások átirányítása /proc-ba
A runC megtéveszthető úgy, hogy írásokat hajtson végre a /proc fájlrendszerbe, amelyek valójában támadó által kontrollált célpontokra irányulnak. Egyes változatokban ez képes megkerülni az LSM (Linux Security Modules) relabel védelmet is. Így akár veszélyes fájlokba is írhatunk – például /proc/sysrq-trigger –, ami súlyos rendszerbiztonsági problémákat okozhat.
Mely verziókat érintik ezek a hibák?
- CVE-2025-31133 és CVE-2025-52881 minden runC verziót érintenek.
- CVE-2025-52565 kizárólag a 1.0.0-rc3 verziótól kezdődően érinti a runC-t.
A hibák javítására már elérhetőek frissítések: runC 1.2.8, 1.3.3, 1.4.0-rc.3 és újabb verziókban már orvosolták ezeket a problémákat.
Kockázatok és kihasználhatóság
A cloud biztonsági cég Sysdig kutatói szerint ezen sebezhetőségek kihasználásához szükséges, hogy egy támadó képes legyen olyan konténereket indítani, amelyek egyedi mount konfigurációval rendelkeznek. Ezt rosszindulatú konténer képek vagy Dockerfile-ok segítségével érheti el.
Eddig nem érkezett jelentés arról, hogy bármelyik hibát aktívan kihasználnák éles környezetben.
Védelmi javaslatok és detektálás
A Sysdig tanácsa szerint az ilyen típusú támadási kísérletek felismerhetők gyanús szimbolikus link viselkedések monitorozásával.
RunC fejlesztők ajánlásai:
- Felhasználói névterek aktiválása: Minden konténer esetében engedélyezni kell az user namespace-eket úgy, hogy ne legyen leképezve a host root felhasználó a konténer névterében. Ez Unix DAC jogosultságok miatt megakadályozza az illetéktelen hozzáférést kritikus fájlokhoz.
- Root nélküli konténerek használata: Amennyiben lehetséges, érdemes rootless módot alkalmazni, amely jelentősen csökkenti egy esetleges sérülékenységből fakadó károkat.
Összegzés
A három újonnan felfedezett sebezhetőség komoly fenyegetést jelenthet minden olyan környezetben, ahol runC alapú konténereket használnak – különösen Docker és Kubernetes rendszerek esetén. A gyors frissítés és megfelelő biztonsági intézkedések alkalmazása elengedhetetlen ahhoz, hogy megvédjük rendszereinket az esetleges támadásoktól.
Ne feledje: mindig tartsa naprakészen konténer futtatókörnyezetét és alkalmazzon több rétegű védelmi mechanizmusokat!
