Trois vulnérabilités récemment divulguées dans le runtime de conteneur runC utilisé dans Docker et Kubernetes pourraient être exploitées pour contourner les restrictions d’isolement et accéder au système hôte.
Les problèmes de sécurité, suivis sous les numéros CVE-2025-31133, CVE-2025-52565 et CVE-2025-52881 (tous ), ont été signalés cette semaine et divulgués par Aleksa Sarai, ingénieur logiciel SUSE et membre du conseil d’administration de l’Open Container Initiative (OCI).
runC est un environnement d’exécution de conteneur universel et l’implémentation de référence OCI pour l’exécution de conteneurs. Il est responsable des opérations de bas niveau telles que la création du processus de conteneur, la configuration des espaces de noms, des montages et des groupes de contrôle que les outils de niveau supérieur, comme Docker et Kubernetes, peuvent appeler.
Un attaquant exploitant les vulnérabilités pourrait obtenir un accès en écriture à l’hôte conteneur sous-jacent avec les privilèges root:
- CVE-2025-31133 — runC utilise des montages de liaison /dev/null pour « masquer » les fichiers hôtes sensibles. Si un attaquant remplace /dev / null par un lien symbolique lors de l’initialisation du conteneur, runc peut finir par lier-monter une cible contrôlée par l’attaquant en lecture-écriture dans le conteneur — permettant les écritures dans /proc et l’échappement du conteneur.
- CVE-2025-52565 — Le montage de liaison /dev/console peut être redirigé via des courses/liens symboliques afin que runc monte une cible inattendue dans le conteneur avant que les protections ne soient appliquées. Cela peut à nouveau exposer un accès en écriture aux entrées procfs critiques et activer les évasions.
- CVE-2025-52881 — runC peut être amené à effectuer des écritures dans /proc qui sont redirigées vers des cibles contrôlées par l’attaquant. Il peut contourner les protections de relabel LSM dans certaines variantes et transforme les écritures runc ordinaires en écritures arbitraires dans des fichiers dangereux comme /proc/sysrq-trigger.
CVE-2025-31133 et CVE-2025-52881 affectent toutes les versions de runC, tandis que CVE-2025-52565 affecte les versions runC 1.0.0-rc3 et ultérieures. Des correctifs sont disponibles dans les versions runC 1.2.8, 1.3.3, 1.4.0-rc.3, et plus tard.
Exploitabilité et risque
Les chercheurs de la société de sécurité cloud Sysdig notent que l’exploitation des trois vulnérabilités « nécessite la possibilité de démarrer des conteneurs avec des configurations de montage personnalisées », ce qu’un attaquant peut réaliser via des images de conteneurs ou des fichiers Docker malveillants.
Actuellement, il n’y a eu aucun rapport sur l’exploitation active de l’une des failles dans la nature.
Dans un avis cette semaine, Sysdig partage que les tentatives d’exploiter l’un des trois problèmes de sécurité peuvent être détectées en surveillant les comportements suspects des liens symboliques.
Les développeurs RunC ont également partagé des actions d’atténuation, qui incluent l’activation des espaces de noms utilisateur pour tous les conteneurs sans mapper l’utilisateur racine hôte dans l’espace de noms du conteneur.
Cette précaution devrait bloquer les parties les plus importantes de l’attaque en raison des autorisations DAC Unix qui empêcheraient les utilisateurs avec espace de noms d’accéder aux fichiers pertinents.
Sysdig recommande également d’utiliser des conteneurs sans racines, si possible, pour réduire les dommages potentiels liés à l’exploitation d’une vulnérabilité.