- Tiga kelemahan runC dapat memungkinkan container escape dan akses host dengan hak istimewa admin
- Bug memengaruhi pengaturan Docker/Kubernetes menggunakan mount khusus dan versi runC yang lebih lama
- Mitigasi mencakup namespace pengguna dan container tanpa root untuk membatasi dampak eksploitasi
Runtime container runC, yang digunakan di Docker dan Kubernetes, membawa tiga kerentanan dengan tingkat keparahan tinggi yang dapat digunakan untuk mengakses sistem yang mendasarinya, para peneliti keamanan telah memperingatkan.
Peneliti keamanan Aleksa Sarai mengungkapkan penemuan CVE-2025-31133, CVE-2025-52565, dan CVE-2025-52881, tiga bug yang, ketika digabungkan, memberikan akses ke host container yang mendasarinya dengan hak istimewa admin.
runC adalah runtime container tingkat rendah yang ringan yang digunakan untuk membuat dan menjalankan container di sistem Linux – menjadikannya pada dasarnya komponen yang memulai dan mengelola container di mesin.
Tidak ada bukti pelecehan
CVE-2025-31133, dengan skor tingkat keparahan 7,3/10 (tinggi), berasal dari fakta bahwa runc tidak melakukan verifikasi yang memadai, sehingga menyebabkan keterbukaan informasi, penolakan layanandan bahkan pelarian kontainer.
CVE-2025-52565, kelemahan pemeriksaan lainnya yang tidak mencukupi, juga menyebabkan penolakan layanan. Bug ini diberi skor 8,4/10, sedangkan bug terakhir, CVE-2025-52881, digambarkan sebagai kondisi balapan di runc, yang memungkinkan penyerang mengalihkan /proc penulisan melalui mount bersama. Yang ini diberi skor 7,3/10 (tinggi).
Untuk memanfaatkan kelemahan ini, penyerang pertama-tama harus dapat memulai container dengan konfigurasi pemasangan khusus, kata peneliti dari Sysdig, menekankan bahwa, secara teori, hal ini dapat dicapai melalui image container atau Dockerfiles yang berbahaya.
Ketiga bug tersebut memengaruhi versi 1.2.7, 1.3.2 dan 1.4.0-rc.2, dan telah diperbaiki di versi 1.2.8, 1.3.3, dan 1.4.0-rc.3.
Untungnya, saat ini tidak ada laporan mengenai salah satu dari tiga bug yang disalahgunakan secara aktif, dan pengembang runC telah berbagi tindakan mitigasi, termasuk mengaktifkan namespace pengguna untuk semua container tanpa memetakan pengguna root host ke dalam namespace container.
“Tindakan pencegahan ini harus memblokir bagian terpenting dari serangan karena izin Unix DAC yang akan mencegah pengguna dengan namespace mengakses file yang relevan,” lapornya, seraya menambahkan bahwa penggunaan container tanpa root juga disarankan, karena hal ini mengurangi potensi kerusakan akibat eksploitasi kelemahan tersebut.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
