شبکه اجتماعی آزمایشگاه امنیت وایت لب
◽️ سه CVE جدید (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) در runC اجازه میدهند مهاجم با تغییر symlink یا سوءاستفاده از bind-mounts و race-condition، دسترسی نوشتن روی میزبان را بدست آورد و اقدام به فرار از کانتینر کند.
⚠️ دو مورد CVE-2025-31133 و CVE-2025-52881 روی همه نسخهها اثر میگذارد و دیگری نسخههای 1.0.0-rc3+ را تحت تاثیر قرار میدهد؛ رفعها در runC 1.2.8، 1.3.3، 1.4.0-rc.3 و بالاتر منتشر شدهاند. باید توجه داشت که مهاجم برای سوء استفاده از این آسیبپذیریها نیازمند توانایی برای راهاندازی کانتینرها همراه با تنظیمات mount سفارشی است.
✳️ توصیهها:
- نسبت به انجام بهروزرسانی اقدام کنید.
- از کانتینرهای rootless و user namespaces استفاده کنید.
- مانیتورینگ symlink و رفتارهای مشکوک mount را در نظر بگیرید.
- در همه حال از اجرا و استفاده از Image/Dockerfileهای ناشناس پرهیز کنید.
برچسبها:
