Le runtime container, runC, utilisé par Docker et Kubernetes, subit trois importantes vulnérabilités : CVE-2025-31133, CVE-2025-52565 et CVE-2025-52881. Ces alertes sont dues à Aleksa Sarai, un ingénieur logiciel de SUSE. runC n'est pas le composant d'infrastructure le plus connu. Or, ce runtime container est le runtime référence pour exécuter les conteneurs. Il s'occupe des opérations bas niveau (création d'un conteneur, configuration des espaces de noms, monter un conteneur, etc). Il est utilisé par Docker et Kubernetes. Cela signifie que les failles de runC impactent ces deux plateformes. Les CVE-2025-31133 et CVE-2025-52881 concernent TOUTES les versions de runC. La 3e impacte les versions 1.2.8, 1.3.3 et 1.4.0rc3...

Ces CVE ont un score de 7,3 : cela signifie une criticité haute. Pour résumer l'impact de chaque vulnérabilité :

CVE-2025-31133 : un hacker peut remplacer /dev/null par un symlink durant la phase d'initiation du conteneur et il peut prendre le contrôle d'une target en lecture-seule depuis le conteneur compromis

CVE-2025-52565 : cette faille concerne /dev/console. Le hacker peut remplacer un chemin cible pour un symlink et peut provoquer un montage compromis et fournir un accès à procfs

CVE-2025-52881 : tromper runC pour qu'il puisse écrire dans /proc une redirection vers une cible compromise. Cette faille contourne les protections LSM pour faire une écrire arbitraire dans des fichiers sensibles tels que /proc/sysrq-trigger

"Malheureusement, les correctifs sont assez volumineux car ils ont nécessité un important travail de développement sur github.com/cyphar/filepath-securejoin ainsi que des modifications importantes de runc. Je recommande donc d'utiliser les versions publiées." commente Aleksa. L'ingénieur ajoute que le correctif est assez imposant car il cible toutes les CVE. 

Annonce des failles : https://seclists.org/oss-sec/2025/q4/138