漏洞关键信息 基本信息 漏洞名称: Ineffective application of selinux / apparmor --security option 发布者: DrDaveD 漏洞ID: GHSA-j3rw-fx6g-q46j CVE ID: CVE-2025-65105 受影响版本: < 1.4.5 修复版本: 1.4.5 严重性 级别: Moderate (4.5 / 10) CVSS v3 基础指标 - 攻击向量: Local - 攻击复杂度: High - 所需权限: None - 用户交互: Required - 影响范围: Unchanged - 机密性: Low - 完整性: Low - 可用性: Low 描述与影响 在 Apptainer 版本小于 1.4.5 中,容器可以禁用 选项的两种形式,即 和 ,这会解除对容器操作的限制。这些功能在 Apptainer 文档中作为 root 用户的特性被提及,但在某些情况下也适用于非特权用户。 存在一个检测 selinux 支持的 bug,导致在 Apptainer 的 suid 模式下,即使没有任何攻击, 标记也可能无法被应用,且会显示 selinux 不可用的警告。 修复措施 通过更新 依赖解决 selinux 进程标签的无效写入问题,该更新修复了上游漏洞 #3326。 通过提交 修复 apparmor 进程配置文件的无效写入问题。 对于 标记提供时未能检测 apparmor / selinux 支持的问题,通过提交 将其从警告提升为错误。 参考资料 感谢 Sylabs 发现该问题并修复,详情见 GHSA-wwrx-w7c9-rf87。 相关上游 runc 披露事件见 GHSA-cgrx-mc8f-2prm。