简介 

    全球网安事件速递：runc关键漏洞威胁Docker和Kubernetes容器隔离安全。runc曝出三个关键漏洞（CVE-2025-31133/52565/52881），可突破容器隔离获取宿主机root权限，影响所有已知版本。已发布修复版本1.2.8/1.3.3/1.4.0-rc.3+，建议立即升级并启用用户命名空间。runc漏洞可突破容器隔离，威胁Docker/K8s安全，需紧急修复，进一步说明核心价值与适用场景，确保逻辑连贯。

核心详情 

    该漏洞源于runc容器运行时在处理文件描述符时存在缺陷，攻击者可通过恶意容器镜像或特制命令利用漏洞逃逸隔离环境，直接控制宿主机系统。漏洞影响所有Docker和Kubernetes默认配置环境，涉及云计算平台、CI/CD流水线及微服务架构。根据开源社区安全公告，漏洞已确认存在野外利用尝试，主要云服务商如AWS ECS、Google GKE已发布应急补丁。用户命名空间重构可增强隔离性，但需注意兼容性问题。

适用范围  

    适用于使用Docker或Kubernetes的运维工程师、云平台管理员、DevSecOps团队及容器化应用开发人员，特别针对生产环境容器集群、混合云部署场景及合规要求严格的金融、政务系统。

推荐措施 

    1、立即升级runc至修复版本1.2.8/1.3.3/1.4.0-rc.3+，并通过docker info验证运行时版本；

    2、配置容器运行时默认启用用户命名空间隔离，定期扫描镜像漏洞，设置网络策略限制横向移动。