Am 5. November 2025 hat ein Sicherheitsforscher von SUSE drei Schwachstellen in runc offengelegt – der Laufzeitumgebung, die unter anderem in Docker, Kubernetes und Podman zum Einsatz kommt. Die Lücken mit den Kennungen CVE-2025-31133, CVE-2025-52565 und CVE-2025-52881 ermöglichen es unter bestimmten Bedingungen, die Container-Isolation zu umgehen und auf Hostsysteme zuzugreifen. Zwar sind bislang keine aktiven Angriffe bekannt, doch die theoretische Gefahr einer Container-Escape ist erheblich, da runc in vielen Cloud- und Produktionsumgebungen zentraler Bestandteil ist.

Die Schwachstellen beruhen auf unterschiedlichen Angriffsmethoden: So lässt sich bei CVE-2025-31133 die maskedPaths-Funktion missbrauchen, um über manipulierte Symlinks Hostdateien in den Container einzubinden. CVE-2025-52565 nutzt ein Race-Condition-Problem beim Mounten von "/dev/console", während CVE-2025-52881 Schreibvorgänge an procfs-Dateien umleitet und damit Sicherheitsmechanismen wie Linux Security Modules umgehen kann. In allen Fällen ist ein erfolgreiches Ausnutzen nur möglich, wenn Angreifer Container mit eigenen Mount-Konfigurationen starten dürfen – ein Szenario, das vor allem bei untrusted Images oder fehlerhaften Build-Prozessen realistisch ist.

Das Sysdig Threat Research Team hat die Lücken technisch analysiert und experimentelle Falco-Regeln veröffentlicht, mit denen sich verdächtige Aktivitäten wie Symlink-Manipulationen erkennen lassen. Sysdig Secure-Nutzer können zudem über das integrierte Threat-Intelligence-Modul prüfen, ob betroffene runc-Versionen im Einsatz sind.

Betroffen sind nahezu alle bekannten Versionen von runc. Die Entwickler haben mit den Versionen 1.2.8, 1.3.3 und 1.4.0-rc.3 Patches bereitgestellt. Als Sofortmaßnahmen empfehlen die Forscher, runc zu aktualisieren, User-Namespaces zu aktivieren und – wo möglich – auf rootlose Container zu setzen. Auch große Anbieter wie AWS und Google Cloud haben nach eigenen Angaben bereits Sicherheitsupdates eingespielt.