runc : trois failles de gravité élevée permettent d’echapper aux conteneurs
Aleska Sarai, ingénieur logiciel chez SUSE et membre du conseil d’administration de l’OCI (Open Container Initiative), a publié une alerte décrivant trois vulnérabilités de gravité élevée affectant runc, le runtime utilisé par Docker et d’autres orchestrateurs. Selon l’expert, ces failles permettent de corrompre des conteneurs malgré les contrôles habituels de renforcement et d’isolation.
Principe général des attaques
Les vulnérabilités exploitent la maniere dont runc gère des écritures dans certains fichiers du pseudo-système de fichiers /proc (procfs). Les attaquants peuvent tirer parti de chemins masqués, de montages de type bind et de liens symboliques pour rediriger des écritures vers des fichiers sensibles de l’hote, ce qui peut conduire a une évasion de conteneur ou a un crash de l’hote.
1) Un probleme de chemin masqué (CVE-2025-31133)
La première faille concerne un cas ou runc remplace un fichier par un montage bind sur ‘/dev/null’. Si un attaquant transforme ‘/dev/null’ en lien symbolique vers un fichier critique de procfs (par exemple ‘/proc/sys/kernel/core_pattern’ ou ‘/proc/sysrq-trigger’), le runtime peut monter cette cible en lecture-ecriture, donnant potentiellement accès a l’hote.
Dans une variante, runc ignore l’absence de ‘/dev/null’ et poursuit, ce qui peut entrainer la divulgation d’informations via des fichiers masqués comme ‘/proc/kcore’ ou ‘/proc/timer_list’. Cette faille, presente dans toutes les versions connues de runc, a obtenu un score CVSS de 7,3/10 et a ete corrigee dans les versions 1.2.8, 1.3.3 et 1.4.0-rc.3.
2) Montage de ‘/dev/console’ remplaceable (CVE-2025-52565)
La deuxième vulnérabilite porte sur la gestion du montage de ‘/dev/console’. Un attaquant peut remplacer la cible par un lien symbolique, amenant runc a monter la mauvaise cible et a permettre des écritures vers des chemins procfs sensibles. Comme pour CVE-2025-31133, l’exploitation intervient apres pivot_root(2) et ne permet pas de monter directement des fichiers hôtes arbitraires, mais peut tout de meme aboutir a une évasion complète du conteneur. Les versions à partir de 1.0.0-rc3 restent concernees.
3) Contournement des modules de sécurité Linux (CVE-2025-52881)
La troisième faille permet de contourner des Linux Security Modules (LSM) tels que SELinux ou AppArmor en redirigeant des écritures vers des fichiers procfs. Une fois les etiquettes LSM neutralisees, des écritures au niveau de l’hote deviennent possibles, avec un risque de compromission totale de l’hôte. D’après l’analyse de Sarai, ni AppArmor ni SELinux ne peuvent proteger contre la version complete de cette attaque par réécriture redirigée.
Impact et conditions d’exploitation
- Les attaques requièrent généralement des configurations de montage personnalisees ou des images non fiables, ce qui les rend exploitables via des Dockerfiles ou des images malveillantes.
- Des outils d’orchestration comme Docker ou Kubernetes sont particulièrement concernés du fait de l’utilisation large de runc comme runtime.
- L’utilisation de conteneurs en mode rootless peut réduire l’impact en bloquant la plupart des écritures involontaires vers l’hote, mais n’est pas une garantie absolue.
Verification et detection
Le spécialiste Sysdig a confirmé que l’exploitation de ces failles est realisable en demarrant des conteneurs avec des configurations de montage personnalisees. Sysdig a aussi indiqué avoir ajouté des regles de detection pour ses utilisateurs Secure et Falco afin de repérer les comportements suspects lies aux liens symboliques et montages malveillants.
Recommandations
- Mettre a jour runc immediatement vers les versions corrigees fournies par les maintainers et les distributions.
- Appliquer les correctifs et les mitigations proposes par vos fournisseurs de conteneurs et plateformes d’orchestration.
- Eviter l’utilisation d’images et de Dockerfiles non fiables, et restreindre la possibilite de definir des montages personnalisés pour les conteneurs qui n’en ont pas besoin.
- Considérer l’usage de conteneurs en mode rootless et renforcer les politiques de securite au niveau de l’orchestrateur.
En conclusion, ces failles montrent que des manipulations de chemins et de montages, combinees a des liens symboliques et a l’ecriture dans procfs, peuvent contourner des garanties d’isolation classiques. Les utilisateurs de runc doivent appliquer les correctifs sans delai.
