Definition. Der Vorgang, mit dem ein Angreifer aus einem laufenden Container ausbricht und Zugriff auf den Host-Kernel, das Host-Dateisystem oder benachbarte Container erlangt. Typische Ursachen: Kernel-Schwachstellen, übermäßige Container-Capabilities, falsch gemountete Sockets (docker.sock), priviligierte Container, fehlende User-Namespaces.

Warum relevant. Container-Isolation ist nicht so absolut, wie viele Architektur-Diagramme suggerieren — sie basiert in Linux auf Namespaces, cgroups und Seccomp/AppArmor, und jede dieser Schichten hat in den letzten Jahren CVEs gehabt. Pod Security Standards und Kernel-Patching adressieren genau das.

Verwandt. Pod Security Standards, Kernel LPE, Kernel Hardening, Runtime Security