Runc’taki üç kritik güvenlik açığı; Docker, Kubernetes ve diğer konteynerleştirme platformlarına güç veren konteyner çalışma zamanı.
Bu kusurlar, saldırganların kapsayıcı izolasyonundan kaçmasına ve ana sistemlere kök erişimi elde etmesine olanak tanıyabilir. Ancak henüz aktif bir istismar tespit edilmedi.
Güvenlik açıkları, yarış montaj koşullarından yararlanır ve konteyner sınırlarını aşmak için yazma yönlendirmelerini başlatır.
Saldırganların, kötü amaçlı konteyner görüntülerini ve Dockerfiles’ı birincil saldırı vektörleri haline getirerek özel montaj yapılandırmalarıyla konteynerleri başlatma becerisine ihtiyaçları vardır.
Sysdig Tehdit Araştırma Ekibi, üç güvenlik açığının tamamını analiz etti ve dünya çapında etkilenen kuruluşlar için ayrıntılı hafifletme önerileri sağladı.
ve Güvenlik Açıkları Konteyner İzolasyonuna Yol Açıyor
CVE-2025-31133, runc’un hassas ana bilgisayar dosyalarını konteyner erişiminden koruyan maskedPaths özelliğindeki zayıflıklardan yararlanıyor.
Saldırganlar, kapsayıcı oluşturma sırasında /dev/null’u bir sembolik bağlantıyla değiştirerek, runc’u rastgele ana bilgisayar yolları bağlaması ve /proc/sys/kernel/core_pattern gibi kritik sistem dosyalarına yazması için kandırabilir ve böylece kapsayıcıdan kaçışı etkinleştirebilir.
CVE-2025-52565, kapsayıcının başlatılması sırasında /dev/console bağlama işlemini hedefliyor.
Yetersiz doğrulama, saldırganların bağlantıları yeniden yönlendirmesine ve korumalı procfs dosyalarına yazma erişimi elde etmesine olanak tanır.
Saldırı başarılı olur çünkü bağlama, maskedPaths ve readonlyPaths korumaları doğru şekilde uygulanmadan önce gerçekleşir.
CVE-2025-52881, saldırganların, paylaşılan montajlarla yarış koşulları aracılığıyla Linux Güvenlik Modülü korumalarını atlamasına olanak tanır.
Saldırganlar runc yazmalarını sahte procfs dosyalarına yönlendirebilir ve/proc/sysrq-trigger veya /proc/sys/kernel/core_pattern gibi tehlikeli sistem dosyalarını manipüle ederek sistemleri çökertebilir veya kapsayıcılardan kaçabilir.
| CVE Kimliği | Güvenlik Açığı Türü | Etkilenen Sürümler | Sabit Versiyonlar |
|---|---|---|---|
| CVE-2025-31133 | maskedPaths’in kötüye kullanılması yoluyla konteynerden kaçış | Bilinen tüm versiyonlar | 1.2.8, 1.3.3, 1.4.0-rc.3+ |
| CVE-2025-52565 | /dev/console montaj yarışları aracılığıyla konteynerden kaçış | 1.0.0-rc3 ve üzeri | 1.2.8, 1.3.3, 1.4.0-rc.3+ |
| CVE-2025-52881 | LSM bypass ve isteğe bağlı yazma aygıtları | Bilinen tüm versiyonlar | 1.2.8, 1.3.3, 1.4.0-rc.3+ |
Etkilenen Sürümler ve Yamalar
CVE-2025-31133 ve CVE-2025-52881 bilinen tüm runc sürümlerini etkiler; CVE-2025-52565 ise 1.0.0-rc3 ve sonraki sürümleri etkiler.
Her üç güvenlik açığı da runc’un 1.2.8, 1.3.3 ve 1.4.0-rc.3 veya sonraki sürümlerinde yamalanmıştır.
Konteynerli ortamlar kullanan kuruluşlar Runc’ı derhal yamalı sürümlere güncellemelidir.
Sysdig Tehdit Araştırma Ekibi, procfs dosya sistemine erişimi kısıtlayarak kritik saldırı vektörlerini engelleyen tüm kapsayıcılar için kullanıcı ad alanlarının etkinleştirilmesini önerir.
Köksüz kapsayıcıların kullanılması güvenlik açığının kapsamını daha da sınırlandırır. AWS, ECS ve EKS’nin de aralarında bulunduğu bulut sağlayıcıları 5 Kasım 2025’te güvenlik güncellemeleri yayınladı.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
