Sicherheitslücken in RunC: Angreifer können aus Docker-Containern ausbrechen
Sicherheitsforscher von Sysdig warnen vor drei gefährlichen Sicherheitslücken in der von Docker, Kubernetes und vergleichbaren Lösungen verwendeten Container-Laufzeitumgebung RunC. Wie die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) schildern, können Angreifer die Lücken ausnutzen, um aus Containern auszubrechen und einen Root-Zugriff auf das Hostsystem zu erlangen.
Aufgedeckt wurden die Sicherheitslücken von dem Suse-Entwickler Aleksa Sarai(öffnet im neuen Fenster) . Konkret handelt es sich um CVE-2025-31133(öffnet im neuen Fenster) , CVE-2025-52565(öffnet im neuen Fenster) und CVE-2025-52881(öffnet im neuen Fenster) . Mit CVSS-Werten von 7,3 bis 8,4 verfügen diese jeweils über einen hohen Schweregrad.
Ursache für CVE-2025-31133 ist laut Sysdig, dass sich /dev/null während der Container-Initialisierung durch einen Symlink zu einem beliebigen Host-Pfad ersetzen lässt. Dadurch werde etwa das Schreiben in kritische Host-Dateien wie /proc/sys/kernel/core_pattern ermöglicht – und damit ein Container-Ausbruch.
Bei CVE-2025-52565 hingegen wird /dev/console beim Mount-Vorgang während der Initialisierung umgeleitet, um einen Schreibzugriff auf geschützte Dateien des Hostsystems zu erhalten. CVE-2025-52881 betrifft Sysctl-Schreibvorgänge, die sich auf vom Angreifer gewählte Ziele, etwa unter /proc, umleiten lassen. Mögliche Folgen sind Container-Ausbrüche oder Systemabstürze.
Patches sind verfügbar
Um die genannten Schwachstellen ausnutzen zu können, muss ein Angreifer laut Sysdig vorab die Möglichkeit haben, einen anvisierten Container mit benutzerdefinierten Mount-Konfigurationen zu starten. Als wahrscheinlichsten Angriffsvektor sehen die Forscher daher die Verwendung nicht vertrauenswürdiger Dockerfiles und Container-Images.
Wer seine Systeme vor entsprechenden Angriffen schützen will, sollte ein Update auf eine der neuesten RunC-Versionen durchführen. Für mindestens eine der genannten Sicherheitslücken anfällig sind alle Versionen ab 1.0.0-rc3. Als gepatcht gelten die vor wenigen Tagen veröffentlichten RunC-Versionen 1.2.8(öffnet im neuen Fenster) , 1.3.3(öffnet im neuen Fenster) und 1.4.0-rc.3(öffnet im neuen Fenster) .
Als zusätzliche Schutzmaßnahmen empfehlen die Sysdig-Forscher, User Namespaces zu aktivieren und nach Möglichkeit Rootless-Container zu verwenden. Hinweise auf eine aktive Ausnutzung der Lücken gibt es bisher noch nicht. Dass zugehörige Informationen nun öffentlich verfügbar sind, dürfte die Wahrscheinlichkeit für entsprechende Attacken aber erhöhen.