Docker ve Kubernetes’e güç sağlayan ve yaygın olarak kullanılan konteyner çalışma zamanı runc’taki üç kritik güvenlik açığı açığa çıkarıldı; bu güvenlik açığı, saldırganların konteyner izolasyonunu aşmasına ve ana sistemlere kök erişimi sağlamasına olanak tanıyor.
CVE-2025-31133, CVE-2025-52565 ve CVE-2025-52881 olarak tanımlanan kusurlar, 5 Kasım 2025’te bir SUSE araştırmacısı tarafından ortaya çıkarıldı.
| CVE Kimliği | Etkilenen Sürümler | Sabit Versiyonlar |
|---|---|---|
| CVE-2025-31133 | Bilinen tüm versiyonlar | 1.2.8, 1.3.3, 1.4.0-rc.3+ |
| CVE-2025-52565 | 1.0.0-rc3 ve üzeri | 1.2.8, 1.3.3, 1.4.0-rc.3+ |
| CVE-2025-52881 | Bilinen tüm versiyonlar | 1.2.8, 1 |
Saldırı Nasıl Çalışır?
Güvenlik açıkları, runc’un kapsayıcı oluşturma sırasında bağlama işlemlerini ve dosya korumalarını nasıl ele aldığındaki zayıflıklardan yararlanıyor.
Araştırmacıların bildirdiğine göre saldırganlar, güvenlik kısıtlamalarını aşmak için yarış koşullarından ve sembolik bağlantı manipülasyonundan yararlanabiliyor ve sonuçta konteynerden kaçmayı mümkün kılan kritik sistem dosyalarına yazabiliyor.
En olası saldırı vektörü, kötü amaçlı konteyner görüntülerini veya özel montaj yapılandırmaları içeren Docker dosyalarını içerir.
CVE-2025-31133, hassas ana bilgisayar dosyalarını konteyner erişiminden koruyan maskedPaths özelliğini hedefliyor.
Saldırganlar, kapsayıcı oluşturma sırasında /dev/null’u bir sembolik bağlantıyla değiştirerek, runc’u rastgele ana bilgisayar yolları bağlaması için kandırabilir ve /proc/sys/kernel/core_pattern gibi kritik dosyalara yazma olanağı sağlayabilir.
CVE-2025-52565, /dev/pts/$n’nin /dev/console’a bağlanması sırasında yetersiz doğrulamadan yararlanıyor.
Bu güvenlik açığı, saldırganların güvenlik korumaları uygulanmadan önce bağlantıları yeniden yönlendirmesine ve korunan procfs dosyalarına yetkisiz yazma erişimi elde etmesine olanak tanır.
CVE-2025-52881, runc yazma işlemlerini /proc dosyalarına yeniden yönlendirmek için paylaşılan montajlarla yarış koşullarını kullanıyor.
Bu bypass, saldırganların /proc/sysrq-trigger gibi tehlikeli sistem dosyalarını manipüle etmesine, potansiyel olarak sistemleri çökertmesine veya konteynerden kaçmasına olanak sağlar.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.