runc — это инструмент CLI для создания и запуска контейнеров в соответствии со спецификацией OCI. В версиях с 1.0.0-rc3 по 1.2.7, с 1.3.0-rc.1 по 1.3.2 и с 1.4.0-rc.1 по 1.4.0-rc.2 из-за недостаточных проверок при монтировании привязки `/dev/pts/$n` к `/dev/console` внутри контейнера злоумышленник может обманным путем перенаправить runc в пути монтирования привязки, которые обычно доступны только для чтения или быть замаскированы на путь, по которому злоумышленник может писать. Эта атака по концепции и применению очень похожа на CVE-2025-31133, за исключением того, что она атакует аналогичную уязвимость в другой цели (а именно, привязку привязки `/dev/pts/$n` к `/dev/console`, настроенную для всех контейнеров, выделяющих консоль).
Это происходит после pivot_root(2), поэтому его нельзя использовать для прямой записи в файлы хоста, однако, как и в случае с CVE-2025-31133, это может привести к отказу в обслуживании хоста или прорыву контейнера, предоставляя злоумышленнику записываемую копию `/proc/sysrq-trigger` или `/proc/sys/kernel/core_pattern` (соответственно). Эта проблема исправлена в версиях 1.2.8, 1.3.3 и 1.4.0-rc.3.
Показать оригинальное описание (EN)
runc is a CLI tool for spawning and running containers according to the OCI specification. Versions 1.0.0-rc3 through 1.2.7, 1.3.0-rc.1 through 1.3.2, and 1.4.0-rc.1 through 1.4.0-rc.2, due to insufficient checks when bind-mounting `/dev/pts/$n` to `/dev/console` inside the container, an attacker can trick runc into bind-mounting paths which would normally be made read-only or be masked onto a path that the attacker can write to. This attack is very similar in concept and application to CVE-2025-31133, except that it attacks a similar vulnerability in a different target (namely, the bind-mount of `/dev/pts/$n` to `/dev/console` as configured for all containers that allocate a console). This happens after `pivot_root(2)`, so this cannot be used to write to host files directly -- however, as with CVE-2025-31133, this can load to denial of service of the host or a container breakout by providing the attacker with a writable copy of `/proc/sysrq-trigger` or `/proc/sys/kernel/core_pattern` (respectively). This issue is fixed in versions 1.2.8, 1.3.3 and 1.4.0-rc.3.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
Затронутые конфигурации ПО 17
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:*:*:*:*:*:*:*:*
|
1.0.1
|
1.2.8
|
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:*:*:*:*:*:*:*:*
|
1.3.0
|
1.3.3
|
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.0.0:rc3:*:*:*:*:*:*
|
— | — |
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.0.0:rc4:*:*:*:*:*:*
|
— | — |
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.0.0:rc5:*:*:*:*:*:*
|
— | — |
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.0.0:rc6:*:*:*:*:*:*
|
— | — |
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.0.0:rc7:*:*:*:*:*:*
|
— | — |
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.0.0:rc8:*:*:*:*:*:*
|
— | — |
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.0.0:rc9:*:*:*:*:*:*
|
— | — |
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.0.0:rc90:*:*:*:*:*:*
|
— | — |
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.0.0:rc91:*:*:*:*:*:*
|
— | — |
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.0.0:rc92:*:*:*:*:*:*
|
— | — |
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.0.0:rc93:*:*:*:*:*:*
|
— | — |
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.0.0:rc94:*:*:*:*:*:*
|
— | — |
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.0.0:rc95:*:*:*:*:*:*
|
— | — |
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.4.0:rc1:*:*:*:*:*:*
|
— | — |
|
Linuxfoundation Runc
cpe:2.3:a:linuxfoundation:runc:1.4.0:rc2:*:*:*:*:*:*
|
— | — |