home.social
Sign in Create account

#runc — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #runc, aggregated by home.social.

  1. alip @[email protected] ·

    #POSIX mandates creating files through dangling symbolic links which opens the door for attack vectors which are still relevant today as we see from the #runc breaks where the attacker can plant a dangling symlink at /dev/{null,console} to create trouble. As of 3.45.0, #sydbox implies O_NOFOLLOW at open(2) boundary for O_CREAT unless O_EXCL was also passed. The mitigation can be disabled with the option "trace/allow_unsafe_create:1". See 2nd paragraph: man.exherbo.org/syd.7.html#Tru #linux #security

    #posix #runc #sydbox #linux #security
  2. Flatcar Container Linux 🚂 @[email protected] ·

    🚨 All channels include critical fixes for runc vulnerabilities -
    CVE-2025-31133, CVE-2025-52565, CVE-2025-52881. Update soon to stay safe!
    #Flatcar #Security #runc

    #flatcar #security #runc
  3. Pyrzout :vm: @[email protected] ·

    Runc Vulnerabilities Can Be Exploited to Escape Containers securityweek.com/runc-vulnerab #Vulnerabilities #vulnerability #container #Runc

    #vulnerabilities #vulnerability #container #runc
  4. TechNadu @[email protected] ·

    Alert: Three critical runC vulnerabilities (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) enable mount/symlink-based escapes that may redirect writes to /proc or other host targets. A successful exploit requires container start privileges via crafted mounts or malicious images/Dockerfiles. Patches: runC 1.2.8 / 1.3.3 / 1.4.0-rc.3+.
    Detection & mitigation guidance:
    • Patch runC immediately.
    • Deploy rootless containers and enable user namespaces without host root mapping.
    • Monitor for rapid symlink creation, unexpected bind mounts of /dev/null or /dev/console, and anomalous writes to procfs entries (e.g., /proc/sysrq-trigger).
    • Harden CI/CD image provenance checks and disallow unverified custom mount configurations.
    Share any YARA/OSQuery/Suricata rules you’ve validated — let’s collate detection patterns. Follow TechNadu for vetted technical advisories.

    #containersecurity #runC #CVE #Kubernetes #Docker #threathunting #DFIR #DevSecOps

    #containersecurity #runc #cve #kubernetes #docker #threathunting
  5. Sam Stepanyan :verified: 🐘 @[email protected] ·

    #Kubernetes: Newly disclosed #vulnerabilities in the #runC container runtime used in #Docker & Kubernetes (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) could be exploited to bypass isolation restrictions & get access to the host system (escape):
    #k8s

    bleepingcomputer.com/news/secu

    #kubernetes #vulnerabilities #runc #docker #k8s
  6. Hacker News @[email protected] ·

    Runc breaks pods when CPU requests aren't multiples of 10

    github.com/opencontainers/runc

    #HackerNews #Runc #CPU #issues #Kubernetes #Pods #Multiples #of #10 #Containerization

    #hackernews #runc #cpu #issues #kubernetes #pods
  7. Habr @[email protected] ·

    Внутреннее устройство Docker. Заглянем под капот

    Сначала были физические серверы - дорогие и неэффективные. Затем пришли виртуальные машины , которые позволили запускать несколько изолированных ОС на одном железе. Но цена изоляции оставалась высокой: полная копия ОС, гигабайты диска, минуты на запуск. Контейнеры - следующий шаг эволюции. Зачем виртуализировать целое железо и запускать полноценную ОС, если можно изолировать только сам процесс , используя встроенные механизмы ядра? Этот подход на порядок легче, быстрее и эффективнее.

    habr.com/ru/articles/963702/

    #docker #containerd #runc #linux #containers #container #контейнеризация #докер #devops #линукс

    #docker #containerd #runc #linux #containers #container
  8. Brandon Mitchell @bmitch ·

    If you use runc for your underlying container runtime (the default in many environments including Docker and many Kubernetes installs), there's a security update that just came out today. github.com/opencontainers/runc

    #runc #docker #kubernetes #containers
  9. alip @[email protected] ·

    Symlinks strike again! This time with 3 #container breakouts in #runc. Other runtimes including #youki and #crun are also affected. #sydbox' syd-oci is also affected which is based on #youki. Expect updates soon: openwall.com/lists/oss-securit #exherbo #linux #security #podman

    #container #runc #youki #crun #sydbox #exherbo
  10. Keiran Rowell @[email protected] ·

    How #Container Filesystem Works: Building a #Docker like Container From Scratch

    labs.iximiuz.com/tutorials/con

    #Linux #HPC #Podman #runc

    #container #docker #linux #hpc #podman #runc
  11. Habr @[email protected] ·

    Docker изнутри: исчерпывающее руководство. Механизмы контейнеризации + примеры, эксперименты и реализация

    Docker — не магия, а грамотное применение механизмов Linux. Разбираем инструмент, который пугает своей сложностью не меньше блокчейна. Показываем на пальцах как работают: Namespaces, Cgroups, OverlayFS – основные компоненты любого контейнера, и как стандарт OCI объединяет их в единую экосистему. Об этом и не только в статье.

    habr.com/ru/articles/935178/

    #docker #контейнеризация #namespaces #cgroups #linux_kernel #виртуализация #runc #golang #linux

    #linux #golang #runc #виртуализация #linux_kernel #cgroups
  12. Habr @[email protected] ·

    Docker изнутри: исчерпывающее руководство. Механизмы контейнеризации + примеры, эксперименты и реализация

    Docker — не магия, а грамотное применение механизмов Linux. Разбираем инструмент, который пугает своей сложностью не меньше блокчейна. Показываем на пальцах как работают: Namespaces, Cgroups, OverlayFS – основные компоненты любого контейнера, и как стандарт OCI объединяет их в единую экосистему. Об этом и не только в статье.

    habr.com/ru/articles/935178/

    #docker #контейнеризация #namespaces #cgroups #linux_kernel #виртуализация #runc #golang #linux

    #linux #golang #runc #виртуализация #linux_kernel #cgroups
  13. Habr @[email protected] ·

    Docker изнутри: исчерпывающее руководство. Механизмы контейнеризации + примеры, эксперименты и реализация

    Docker — не магия, а грамотное применение механизмов Linux. Разбираем инструмент, который пугает своей сложностью не меньше блокчейна. Показываем на пальцах как работают: Namespaces, Cgroups, OverlayFS – основные компоненты любого контейнера, и как стандарт OCI объединяет их в единую экосистему. Об этом и не только в статье.

    habr.com/ru/articles/935178/

    #docker #контейнеризация #namespaces #cgroups #linux_kernel #виртуализация #runc #golang #linux

    #linux #golang #runc #виртуализация #linux_kernel #cgroups
  14. Habr @[email protected] ·

    Docker изнутри: исчерпывающее руководство. Механизмы контейнеризации + примеры, эксперименты и реализация

    Docker — не магия, а грамотное применение механизмов Linux. Разбираем инструмент, который пугает своей сложностью не меньше блокчейна. Показываем на пальцах как работают: Namespaces, Cgroups, OverlayFS – основные компоненты любого контейнера, и как стандарт OCI объединяет их в единую экосистему. Об этом и не только в статье.

    habr.com/ru/articles/935178/

    #docker #контейнеризация #namespaces #cgroups #linux_kernel #виртуализация #runc #golang #linux

    #docker #контейнеризация #namespaces #cgroups #linux_kernel #виртуализация
  15. michabbb @[email protected] ·

    🏗️ Supports distributable workers, multiple output formats & pluggable architecture for maximum flexibility
    🔒 Execution without root privileges using #runc or #crun backends with #containerd worker support

    #runc #crun #containerd
  16. txt.file @[email protected] ·

    #runc is athleticsonnenberg.de/neu-runc
    fight me

    #runc
  17. Nicolas Fränkel 🇪🇺🇺🇦🇬🇪 @[email protected] ·

    Implementing #Container Runtime #Shim: #runc

    iximiuz.com/en/posts/implement

    #container #shim #runc
  18. Nicolas Fränkel 🇪🇺🇺🇦🇬🇪 @[email protected] ·

    Implementing #Container Runtime #Shim: #runc

    iximiuz.com/en/posts/implement

    #container #shim #runc
  19. Nicolas Fränkel 🇪🇺🇺🇦🇬🇪 @[email protected] ·

    Implementing #Container Runtime #Shim: #runc

    iximiuz.com/en/posts/implement

    #container #shim #runc
  20. Nicolas Fränkel 🇪🇺🇺🇦🇬🇪 @[email protected] ·

    Implementing #Container Runtime #Shim: #runc

    iximiuz.com/en/posts/implement

    #runc #shim #container
  21. Nicolas Fränkel 🇪🇺🇺🇦🇬🇪 @[email protected] ·

    Implementing #Container Runtime #Shim: #runc

    iximiuz.com/en/posts/implement

    #container #shim #runc
  22. Patryk Krawaczyński @[email protected] ·

    Nieszczelne naczynka w Dockerze ( nfsec.pl/security/6571 ) #docker #kubernetes #security #runc #twittermigration

    youtube.com/watch?v=tontApWVEj

    #docker #kubernetes #security #runc #twittermigration
  23. pluhmen @[email protected] ·

    Mal abgesehen davon, dass diese Lücken in #Docker buildkit und #runc wirklich unschön sind, man kann Docker, #Podman, containerd, runc etc. rootless laufen lassen, d.h die Ausbrecher haben dann eben keine Root-Rechte auf dem Host.

    Genauso gibt es für #Kubernetes die sog. User Namespaces, das gilt als eines der besten Mittel um Ausbrecher an weiteren Schäden zu hindern.

    Sollten man umsetzen, wenn man Container einsetzt!

    golem.de/news/docker-kubernete

    #LeakyVessels

    #leakyvessels #docker #runc #podman #kubernetes
  24. Gonçalo Valério @[email protected] ·

    "Leaky Vessels: Docker and runc container breakout vulnerabilities"

    snyk.io/blog/leaky-vessels-doc

    #security #containers #runc #docker

    #docker #runc #containers #security
  25. Jan Schaumann @[email protected] ·

    Are you using #Docker / #containerd / #runc? Congratulations, you won a full container breakout vulnerability via leaked file descriptors that can "lead to full control of the host system".

    github.com/opencontainers/runc

    #CVE-2024-21626

    #cve #runc #containerd #docker
  26. Sam Stepanyan :verified: 🐘 @[email protected] ·

    #containers: Multiple security vulnerabilities (CVE-2024-21626 et al) have been disclosed in #runC that could be exploited by attackers to escape the bounds of the container and stage follow-on attacks:

    #CloudSecurity

    thehackernews.com/2024/02/runc

    #containers #runc #cloudsecurity
  27. Dotan Horovits #CNCFAmbassador @horovits ·

    🚨 high-severity container breakout vulnerability discovered in , involving leaked file descriptors.
    CVE-2024-21626.
    Patch ASAP:
    github.com/opencontainers/runc


    @containers

    #runc #cve #vulnerability #cybersecurity #containers #containerruntime
  28. Brandon Mitchell @bmitch ·

    has a security release to fix CVE-2024-21626. It's a container escape using file descriptors, and scored 8.6. So if you run images that you don't fully trust, you'll want to upgrade soon. runc is the underlying runtime of a lot of popular container environments. The fixed release is 1.1.12.

    github.com/opencontainers/runc

    #runc
  29. Guillaume Lours @[email protected] ·

    RT @[email protected]

    This was a fun trip down memory lane on how the @[email protected] engine led to @[email protected], #runc, and the @[email protected]

    Thanks @[email protected] for sending me down this trip! twitter.com/thaJeztah/status/1

    🐦🔗: twitter.com/thaJeztah/status/1

    #runc
  30. Dani diddled the union 🏳️‍⚧️ @[email protected] ·

    Funky! using XCP-ng (a #XenServer fork) to run containers using the #Docker or #Podman toolchain. It uses #runx to replace #runc from the default container platform make-up that backs the containers with #xen domains (VMs) instead of kernel namespaces and cgroups. I still need to check whether containers can be administered remotely via a Docker or Podman cli on a different computer, but this looks sweet as! xcp-ng.org/forum/topic/5085/ru

    #xen #runc #runx #podman #docker #xenserver