Cybersecurity -onderzoekers hebben een geval van een onvolledige patch gedetailleerd gedetailleerd voor een eerder geadresseerde beveiligingsfout die van invloed is op de NVIDIA -container toolkit die, indien met succes uitgebuit, gevoelige gegevens in gevaar zou kunnen brengen.
De originele kwetsbaarheid CVE-2024-0132 (CVSS-score: 9.0) is een tijdstip-van-gebruikstijd (toctou) kwetsbaarheid die zou kunnen leiden tot een container-ontsnappingsaanval en ongeautoriseerde toegang tot de onderliggende gastheer mogelijk maken.
Hoewel deze fout in september 2024 door NVIDIA werd opgelost, heeft een nieuwe analyse van Trend Micro onthuld dat de oplossing om onvolledig te zijn en dat er ook een gerelateerde prestatieblok bestaat die Docker op Linux beïnvloedt die zou kunnen leiden tot een Denial-of-Service (DOS) -conditie.
“Deze kwesties kunnen aanvallers in staat stellen om te ontsnappen aan containerisolatie, toegangsgevoelige hostbronnen en ernstige operationele verstoringen veroorzaken”, zei trend micro -onderzoeker Abdelrahman Esmail in een nieuw rapport dat vandaag is gepubliceerd.
Het feit dat de kwetsbaarheid van TctoU aanhoudt, betekent dat een speciaal vervaardigde container kan worden misbruikt om toegang te krijgen tot het hostbestandssysteem en willekeurige opdrachten met rootprivileges uit te voeren. De fout heeft invloed op versie 1.17.4 als de functie toegestane-cuda-compat-libs-from-container expliciet is ingeschakeld.
“De specifieke fout bestaat binnen de functie Mount_Files,” zei Trend Micro. “Het probleem is het gevolg van het ontbreken van de juiste vergrendeling bij het uitvoeren van bewerkingen op een object. Een aanvaller kan deze kwetsbaarheid benutten om voorrechten te escaleren en willekeurige code uit te voeren in de context van de host.”
Voor dit voorrechten escalatie om te werken, moet de aanvaller echter al de mogelijkheid hebben verkregen om code binnen een container uit te voeren.
De tekortkoming is toegewezen aan de CVE-ID CVE-2025-23359 (CVSS-score: 9.0), die eerder werd gemarkeerd door cloudbeveiligingsbedrijf Wiz als ook een bypass voor CVE-2024-0132 in februari 2025. Het is aangepakt in versie 1.17.4.
Het Cybersecurity Company zei dat het ook een prestatieprobleem ontdekte tijdens de analyse van de CVE-2024-0132 die mogelijk zou kunnen leiden tot een DOS-kwetsbaarheid op de gastmachine. Het beïnvloedt Docker -instanties op Linux -systemen.
“Wanneer een nieuwe container wordt gemaakt met meerdere mounts geconfigureerd met behulp van (bind-propagatie = gedeeld), worden meerdere ouder-/onderliggende paden vastgesteld. De bijbehorende vermeldingen worden echter niet verwijderd in de Linux-mounttabel na beëindiging van de container,” zei Esmail.
“Dit leidt tot een snelle en oncontroleerbare groei van de mounttabel, die beschikbare bestandsdescriptors (FD) uitputten. Uiteindelijk kan Docker geen nieuwe containers maken vanwege FD -uitputting. Deze overdreven grote mounttabel leidt tot een enorm prestatieprobleem, waardoor gebruikers voorkomen dat gebruikers verbinding maken met de gastheer (IE, via SSH).”
Om het probleem te verzachten, wordt geadviseerd om de Linux-montagetabel te controleren op abnormale groei, Docker API-toegang te beperken tot geautoriseerd personeel, sterk toegangscontrolebeleid af te dwingen en periodieke audits uit te voeren van container-tot-host bestandssysteembindingen, volumebevestigingen en socketverbindingen.
