Los investigadores de seguridad cibernética han detallado un caso de un parche incompleto para una descompostura de seguridad previamente abordada que afecta el kit de herramientas de contenedores NVIDIA que, si se explota con éxito, podría poner en aventura los datos confidenciales.
La vulnerabilidad innovador CVE-2024-0132 (puntaje CVSS: 9.0) es una vulnerabilidad de tiempo de uso (TCTOU) de tiempo de demostración que podría conducir a un ataque de escape de contenedores y permitir el golpe no calificado al host subyacente.
Si perfectamente NVIDIA resolvió este defecto en septiembre de 2024, un nuevo prospección de Trend Micro ha revelado que la alternativa está incompleta y que incluso existe una descompostura de rendimiento relacionada que afecta a Docker en Linux que podría dar oportunidad a una condición de denegación de servicio (DOS).
“Estos problemas podrían permitir a los atacantes escapar del aislamiento de contenedores, aceptar a los medios del huésped confidenciales y causar graves interrupciones operativas”, dijo hoy en un nuevo mensaje publicado hoy.
El hecho de que persista la vulnerabilidad de TCTOU significa que se podría aprovecharse de un contenedor especialmente fabricado para aceptar al sistema de archivos host y ejecutar comandos arbitrarios con privilegios raíz. El fallas impacta la traducción 1.17.4 Si la función Permitir-Cuda-Compat-libs-de-continer está explícitamente cobrador.
“El defecto específico existe en el interior de la función Mount_files”, dijo Trend Micro. “El problema resulta de la desidia de obstrucción adecuado al realizar operaciones en un objeto. Un atacante puede exprimir esta vulnerabilidad para aumentar los privilegios y ejecutar código despótico en el contexto del host”.
Sin retención, para que esta ascensión de privilegios funcione, el atacante ya debe poseer obtenido la capacidad de ejecutar código en el interior de un contenedor.
A la deficiencia se le ha asignado al identificador CVE CVE-2025-23359 (puntaje CVSS: 9.0), que anteriormente fue traumatizado por la firma de seguridad en la nimbo Wiz como incluso un derivación para CVE-2024-0132 en febrero de 2025. Se ha abordado en la traducción 1.17.4.
La compañía de seguridad cibernética dijo que incluso descubrió un problema de rendimiento durante el prospección del CVE-2024-0132 que podría conducir a una vulnerabilidad de DOS en la máquina host. Afecta las instancias de Docker en los sistemas Linux.
“Cuando se crea un nuevo contenedor con múltiples monturas configuradas usando (Bind-Propagation = Shared), se establecen múltiples rutas de padres/hijos. Sin retención, las entradas asociadas no se eliminan en la tabla de montaje de Linux posteriormente de la terminación del contenedor”, dijo Esmail.
“Esto lleva a un crecimiento rápido e incontrolable de la tabla de montaje, agotando los descriptores de archivos disponibles (FD). Eventualmente, Docker no puede crear nuevos contenedores conveniente al agotamiento de FD. Esta tabla de montaje excesivamente ínclito conduce a un gran problema de rendimiento, evitando que los usuarios se conecten al host (es asegurar, a través de SSH)”.
Para mitigar el problema, se recomienda monitorear la tabla de montaje de Linux para un crecimiento anormal, deslindar el golpe a la API de Docker al personal calificado, hacer cumplir las políticas de control de golpe fuertes y realizar auditorías periódicas de las enlaces de archivos del contenedor a host, montajes de grosor y conexiones de socket.
