Drei neue Sicherheitslücken im Container-Runtime-Tool runc (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) ermöglichen unter bestimmten Bedingungen den Ausbruch aus Containern und potenziell Root-Zugriff auf das Host-System. Die von einem SUSE-Forscher entdeckten Schwachstellen betreffen Docker-, Kubernetes- und andere runc-basierte Plattformen.
Die Fehler resultieren aus fehlerhaften Mount- und procfs-Operationen, die Angreifern das Umgehen von Sicherheitsmechanismen erlauben. Besonders riskant sind Szenarien mit untrusted Container-Images oder manipulierten Dockerfiles.
Alle bekannten runc-Versionen sind betroffen; abgesicherte Versionen sind 1.2.8, 1.3.3 und 1.4.0-rc.3. Nutzer sollten umgehend aktualisieren, User-Namespaces aktivieren und nach Möglichkeit rootlose Container einsetzen. Cloud-Anbieter wie AWS und EKS haben bereits Patches veröffentlicht.
