runcに3件の深刻な脆弱性 全バージョンが影響を受けるため今すぐ更新を：セキュリティニュースアラート

runcに競合状態を突く3件の脆弱性が発見された。/procへの任意書き込みやホストroot奪取に至る可能性が高い。runcの更新およびユーザー名前空間有効化などが推奨されている。

[後藤大地，ITmedia]

　Sysdigは2025年11月6日（現地時間）、コンテナランタイム「runc」に存在する3件の脆弱（ぜいじゃく）性について報告した。これらはオープンソースソフトウェア企業SUSEの研究者によって発見されており、「Docker」や「Kubernetes」など広く利用されているプラットフォームに影響を及ぼす可能性がある。

　悪用されると、コンテナの分離機構を回避してホストシステムでroot権限を取得される恐れがあるとされる。現時点で実際の攻撃は確認されていないが、危険性は高いため要注意だ。

ホストroot奪取の可能性　全バージョンに影響

　報告された脆弱性は、いずれもruncがコンテナ起動時に実行するマウント処理や「procfs」への書き込み操作の不備を突く問題とされている。攻撃者は競合状態（レースコンディション）を悪用し、意図しないファイルへの書き込みを誘発することで、システム設定の改変やコンテナ外への脱出が可能になる。攻撃には任意のマウント設定を伴うコンテナを起動できる権限が必要となるため、不審なDockerfileや信頼できないイメージの使用が感染経路となる危険がある。

　同脆弱性は脆弱性情報データベース（CVE）に登録されている。CVE情報は以下の通りだ。

• CVE-2025-31133：　「maskedPaths」機能の実装不備を利用する。runcは通常、/dev/nullを使って機密ファイルをマスクするが、この処理で/dev/nullが正しいinodeかを十分に検証していない。攻撃者はコンテナ作成中に/dev/nullをシンボリックリンクに置き換えることで、ホスト側の任意のパスをマウントさせ、/proc/sys/kernel/core_patternなど重要な設定ファイルへの書き込みが可能になる
• CVE-2025-52565：　コンテナ初期化時に/dev/pts/$nを/dev/consoleにマウントする処理に関する欠陥。不十分な検証により、攻撃者がマウント先を操作できる可能性があり、保護対象のprocfsファイルへの書き込みを許してしまう。この問題は、maskedPathsやreadonlyPathsによる制限が適用される前に/dev/consoleのマウントが実行される設計上の順序が原因とされている
• CVE-2025-52881：　共有マウントの競合状態を利用し、runcが実行する/procファイルへの書き込み先をすり替えることで、「Linux Security Module」（LSM）のラベル付けを回避できる脆弱性。攻撃者は、通常は制御不能な/proc/sysrq-triggerや/proc/sys/kernel/core_patternなどの危険なファイルに任意のデータを書き込むことが可能となり、システムのクラッシュやコンテナの脱出が発生する恐れがある

　影響を受けるruncのバージョンについては、CVE-2025-31133とCVE-2025-52881は既知の全てのバージョンが影響を受け、CVE-2025-52565は1.0.0-rc3以降のバージョンに影響が及ぶ。いずれもrunc 1.2.8、1.3.3、1.4.0-rc.3以降で修正されている。

　Sysdigは複数の緩和策を提示しており、まずruncを修正版に更新することが重要とされる。また全てのコンテナでユーザー名前空間を有効化することで、攻撃経路を遮断できると説明している。加えて、可能な場合はrootlessコンテナを利用し、特権の範囲を限定することが推奨されている。主要クラウドサービス事業者は既に修正版を提供している。