- Üç runC hatası, konteynerden kaçışa ve yönetici ayrıcalıklarıyla ana bilgisayar erişimine izin verebilir
- Hatalar, özel montajlar ve eski runC sürümleri kullanan Docker/Kubernetes kurulumlarını etkiliyor
- Azaltma, kötüye kullanım etkisini sınırlamak için kullanıcı ad alanlarını ve köksüz kapsayıcıları içerir
Güvenlik araştırmacıları, hem Docker hem de Kubernetes’te kullanılan runC konteyner çalışma zamanının, temeldeki sisteme erişmek için kullanılabilecek üç adet yüksek önem dereceli güvenlik açığı taşıdığı konusunda uyardı.
Güvenlik araştırmacısı Aleksa Sarai, birbirine zincirlendiğinde temeldeki konteyner ana bilgisayarına yönetici ayrıcalıklarıyla erişim sağlayan üç hata olan CVE-2025-31133, CVE-2025-52565 ve CVE-2025-52881’i keşfettiğini açıkladı.
runC, Linux sistemlerinde kapsayıcılar oluşturmak ve çalıştırmak için kullanılan hafif, düşük düzeyli bir kapsayıcı çalışma zamanıdır; bu da onu temel olarak bir makinedeki kapsayıcıları başlatan ve yöneten bileşen haline getirir.
İstismar kanıtı yok
Ciddiyet puanı 7,3/10 (yüksek) olan CVE-2025-31133, runc’un yeterli doğrulamaları gerçekleştirememesinden kaynaklanıyordu ve bu da bilgilerin ifşa edilmesine yol açıyordu, hizmet reddive hatta konteynerden kaçış.
Bir başka yetersiz kontrol kusuru olan CVE-2025-52565 de hizmet reddine yol açar. Bu hataya 8,4/10 puan verilirken, finaldeki CVE-2025-52881, runc’ta bir saldırganın paylaşımlı montajlar aracılığıyla /proc yazmalarını yeniden yönlendirmesine olanak tanıyan bir yarış koşulu olarak tanımlandı. Buna 7,3/10 (yüksek) puan verildi.
Sysdig araştırmacıları, kusurları kötüye kullanmak için saldırganların öncelikle konteynerleri özel montaj konfigürasyonlarıyla başlatabilmeleri gerektiğini belirtti ve teorik olarak bunun kötü amaçlı konteyner görüntüleri veya Docker dosyaları aracılığıyla elde edilebileceğini vurguladı.
Her üç hata da 1.2.7, 1.3.2 ve 1.4.0-rc.2 sürümlerini etkiliyor ve 1.2.8, 1.3.3 ve 1.4.0-rc.3 sürümlerinde düzeltildi.
Neyse ki şu anda üç hatanın herhangi birinin aktif olarak kötüye kullanıldığına dair bir rapor bulunmuyor ve runC geliştiricileri, ana bilgisayar kök kullanıcısını kabın ad alanına eşlemeden tüm kapsayıcılar için kullanıcı ad alanlarının etkinleştirilmesi de dahil olmak üzere, azaltma eylemlerini paylaşıyorlar.
“Bu önlem, ad alanına sahip kullanıcıların ilgili dosyalara erişmesini engelleyecek Unix DAC izinleri nedeniyle saldırının en önemli kısımlarını engellemelidir” diye rapor ederek, köksüz kapların kullanılmasının da önerildiğini, çünkü bunun, kusurlardan yararlanılmasından kaynaklanabilecek olası hasarı azalttığını ekledi.
Aracılığıyla BleepingBilgisayar
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.