Dutch IT Chanel Logo mobile
Search icon
Witold Kepinski - 10 november 2025

Lek in Runc: containers kwetsbaar voor host-overname

Gebruikers van de populaire container runtime runc worden dringend geadviseerd hun software te updaten. Er is een ernstige kwetsbaarheid ontdekt, aangeduid als CVE-2025-31133, die containers kwetsbaar maakt voor een reeks aanvallen, waaronder onthulling van hostinformatie en zelfs ontsnapping uit de container (container escape).

Security Containers
Lek in Runc: containers kwetsbaar voor host-overname image

runc is de Command Line Interface (CLI)-tool die wordt gebruikt om containers te starten en uit te voeren volgens de Open Container Initiative (OCI)-specificatie. Het wordt breed gebruikt door containerplatformen zoals Docker en Kubernetes.

Onvoldoende validatie van /dev/null

Het beveiligingslek bevindt zich in de manier waarop runc omgaat met zogenaamde bind-mounts, met name bij het gebruik van het bestand /dev/null van de container als masker.

In kwetsbare versies (1.2.7 en lager, 1.3.0-rc.1 t/m 1.3.1, 1.4.0-rc.1 en 1.4.0-rc.2) voerde runc onvoldoende verificatie uit om te bevestigen dat de bron van de bind-mount daadwerkelijk een echte /dev/null inode was.

Dit gebrek aan controle creëert een ernstig risico en legt twee aanvalsmethoden bloot:

  1. Willekeurige Mount-mogelijkheid: Een aanvaller kan hierdoor een willekeurige mount gadget creëren. Dit kan leiden tot host-informatiediefstal (information disclosure), Denial of Service (DoS) op de host, of in het ergste geval een container escape (waarbij de aanvaller toegang krijgt tot het onderliggende hostsysteem).
  2. Omzeiling van MaskedPaths: Het lek kan ook worden gebruikt om beveiligingsmechanismen die maskedPaths implementeren, te omzeilen.

Hoge risicoscore

Het risico van deze kwetsbaarheid wordt door GitHub, Inc., die de Advisory heeft ingediend, als Hoog (High) beoordeeld met een CVSS-B score van 7.3. De vectorstring (CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H) geeft aan dat een aanvaller lokale toegang nodig heeft (AV:L), maar het risico op vertrouwelijkheid (VC), integriteit (VI) en beschikbaarheid (VA) van de host is Hoog.

De zwakte wordt geassocieerd met CWE-363 (Race Condition Enabling Link Following) en CWE-61 (UNIX Symbolic Link (Symlink) Following). Dit duidt op een kwetsbaarheid waarbij een aanvaller een timingprobleem kan misbruiken om de verificatie van runc te omzeilen.

Oplossing: direct updaten

De ontwikkelaars van runc hebben de kwetsbaarheid inmiddels verholpen. Organisaties die runc gebruiken, wordt dringend geadviseerd om direct te updaten naar een veilige versie:

  • runc versie 1.2.8
  • runc versie 1.3.3
  • runc versie 1.4.0-rc.3

Het uitblijven van een patch kan organisaties blootstellen aan ernstige beveiligingsinbreuken waarbij een aanvaller uit de container kan breken en zich toegang kan verschaffen tot het hostsysteem.

Flex IT Distribution BW + BN

Dutch IT events

Event icon

Event

Dutch IT Security Day op 18 juni 2026

Event icon

Event

Dutch IT Channel Awards 2025

Alle events
Gartner BN tm 12-11-2025 - 2

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Bestuurder, Editor-in-Chief en Director Content van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!