Tre nuove vulnerabilità, identificate come CVE-2025-31133, CVE-2025-52565 e CVE-2025-52881, colpiscono runc, il componente chiave dei sistemi di gestione container open source. Il bollettino di sicurezza AWS-2025-024, pubblicato il 5 novembre 2025, segnala le falle come “importanti” ma non critiche per l’infrastruttura AWS, poiché i container non vengono utilizzati come barriera di sicurezza tra clienti. Tuttavia, gli utenti che sfruttano runc per l’isolamento dei workload interni devono aggiornare i propri ambienti per mitigare eventuali rischi di escalation o bypass di sandbox.
Cosa leggere
Aggiornamenti per Amazon Linux e Bottlerocket
AWS conferma che Amazon Linux 2 e Amazon Linux 2023 ricevono la nuova versione runc-1.3.2-2, disponibile tramite repository ufficiali. Gli utenti sono invitati a eseguire yum update –security o ad aggiornare manualmente i pacchetti. Anche il sistema Bottlerocket 1.50.0, distribuito nella stessa data, include il runtime corretto e sarà il riferimento per i nuovi deployment su EKS e ECS. Entrambi gli aggiornamenti mirano a neutralizzare vulnerabilità che potevano essere sfruttate al momento del lancio di nuovi container, evitando comportamenti imprevisti nel caricamento delle immagini.
Amazon ECS: nuove AMI con runc aggiornato
Per i clienti ECS su EC2, AWS rilascia le nuove AMI ECS-optimized (versione 20251031) con il runtime aggiornato. Gli ambienti ECS Fargate e ECS Managed Instances riceveranno automaticamente le patch, impedendo l’avvio di nuovi task su nodi non aggiornati. In questo modo, tutti i container di nuova generazione verranno eseguiti in ambienti già protetti senza necessità di intervento manuale.
Amazon EKS: patch distribuite e aggiornamenti automatizzati
Anche Amazon Elastic Kubernetes Service (EKS) riceve un aggiornamento su più livelli. Le EKS Auto Mode AMI vengono distribuite dal 5 novembre 2025 con runtime corretto. I nodi con impostazioni di drift automatico si aggiorneranno da soli, mentre quelli con vincoli di disponibilità verranno sostituiti entro 21 giorni. Gli utenti possono forzare subito l’update eliminando i nodi manualmente. Le EKS-optimized AMI v20251103 per Amazon Linux 2 e 2023 includono il nuovo runc, così come la versione Bottlerocket 1.50.0. Per chi utilizza EKS Fargate, i nuovi pod lanciati dopo il 5 novembre conterranno automaticamente la versione corretta, mentre i pod precedenti dovranno essere eliminati e ricreati. EKS Anywhere rilascerà le versioni v0.24.0 e 0.23.5 con patch integrate il 6 novembre 2025.
Aggiornamenti per Elastic Beanstalk, Finch e SageMaker
Le piattaforme AWS Elastic Beanstalk e Finch ricevono anch’esse gli aggiornamenti relativi a runc. Beanstalk aggiornerà automaticamente gli ambienti Docker ed ECS durante la finestra di manutenzione gestita, oppure immediatamente su richiesta. Per Finch, la versione v1.13.0 per macOS e Windows include la correzione, scaricabile da GitHub o Homebrew. Dopo l’aggiornamento, è necessario reinizializzare la macchina virtuale per applicare le modifiche. Nel caso di Amazon SageMaker, tutti i nuovi ambienti creati o riavviati dopo il 7 novembre 2025 utilizzeranno già la versione patchata di runc. AWS avvierà la sostituzione progressiva anche per le istanze esistenti non appena saranno disponibili le nuove AMI Deep Learning aggiornate.
AWS Batch e Deep Learning AMI
Il servizio AWS Batch invita gli utenti a sostituire le compute environment esistenti con AMI aggiornate, disponibili dal 12 novembre 2025. Chi utilizza AMI personalizzate deve contattare il proprio fornitore del sistema operativo per ricevere le patch. Allo stesso modo, le Deep Learning AMI basate su Amazon Linux 2 e 2023 saranno aggiornate e raccomandate per tutte le istanze di addestramento e inferenza.
La CISA pubblica quattro avvisi ICS
La CISA ha pubblicato quattro avvisi sui Sistemi di Controllo Industriale (ICS). Questi avvisi forniscono informazioni tempestive su attuali problemi di sicurezza, vulnerabilità ed exploit relativi ai sistemi ICS.
- ICSA-25-310-01 Advantech DeviceOn iEdge
- ICSA-25-310-02 Ubia Ubox
- ICSA-25-310-03 Controllori ABB FLXeon
- ICSA-25-282-01 Hitachi Energy Asset Suite (Aggiornamento A)
CISA incoraggia utenti e amministratori a consultare gli avvisi ICS appena pubblicati per dettagli tecnici e misure di mitigazione.
Analisi tecnica e raccomandazioni
Le tre vulnerabilità runc appena divulgate influiscono sul momento di creazione dei container, dove l’engine potrebbe eseguire operazioni non completamente isolate dall’host. AWS ribadisce che i container non rappresentano una barriera di sicurezza garantita e che non esiste rischio cross-tenant nei suoi servizi. Tuttavia, chi utilizza container in ambienti self-managed o ibridi dovrebbe aggiornare il runtime alla versione 1.3.2-2 o successiva, verificando i livelli di patch tramite i comandi di sistema.
