Plattform
go
Komponente
github.com/canonical/lxd
Behoben in
5.0.7
5.21.5
6.8.0
0.0.1
CVE-2026-34177 is a critical remote code execution (RCE) vulnerability affecting LXD, a container management platform. This flaw allows a user with can_edit permission on a VM instance within a restricted project to gain full cluster administrator access by bypassing project restrictions. Affected versions include those prior to 6.8.0. A fix has been released in version 6.8.0.
CVE-2026-34177 in LXD ermöglicht einem Benutzer mit 'can_edit'-Berechtigungen auf einer VM-Instanz innerhalb eines eingeschränkten Projekts, vollständigen Cluster-Administratorzugriff zu erlangen. Dies liegt daran, dass die Funktion isVMLowLevelOptionForbidden raw.apparmor und raw.qemu.conf nicht in ihrer hartcodierten Liste der verbotenen Optionen enthält. Diese Versäumnis ermöglicht es einem Angreifer, den LXD-Unix-Socket in die Gast-VM zu leiten und so die Projektbeschränkung restricted.virtual-machines.lowlevel=block zu umgehen, die speziell dazu dient, dies zu verhindern. Der Schaden ist erheblich, da ein kompromittierter Cluster zu Datenverstößen, Systemausfällen und vollständigem Kontrollverlust führen kann.
Ein Angreifer mit 'can_edit'-Berechtigungen auf einer VM innerhalb eines Projekts, das restricted.virtual-machines.lowlevel=block erzwingt, kann diese Schwachstelle ausnutzen. Der Angreifer kann die Konfiguration der VM so manipulieren, dass Optionen enthalten sind, die den Zugriff auf den LXD-Unix-Socket ermöglichen. Durch das Weiterleiten dieses Sockets an die Gast-VM kann der Angreifer Befehle mit Cluster-Administratorrechten ausführen und so die Low-Level-Beschränkung umgehen. Die Ausnutzung erfordert moderate technische Expertise und Zugriff auf eine VM mit den entsprechenden Berechtigungen. Die Version 6.8.0 reduziert die Komplexität der Ausnutzung erheblich.
Organizations heavily reliant on LXD for container orchestration and virtualization are at significant risk. Specifically, environments with multiple users having can_edit permissions on VM instances within restricted projects are particularly vulnerable. Shared hosting environments utilizing LXD also pose a heightened risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u lxd | grep -i 'forbidden lowlevel option'• linux / server:
ps aux | grep -i 'lxd' | grep -i 'raw.apparmor'• generic web:
Check LXD API endpoints for unauthorized configuration changes using curl or wget.
disclosure
Exploit-Status
EPSS
0.14% (33% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abhilfemaßnahme für CVE-2026-34177 ist die Aktualisierung auf LXD-Version 6.8.0 oder höher. Diese Version behebt die Schwachstelle, indem raw.apparmor und raw.qemu.conf korrekt in die Liste der verbotenen Optionen aufgenommen werden. Als vorübergehende Maßnahme sollten Sie den Zugriff für Benutzer mit 'can_edit'-Berechtigungen auf VMs einschränken, ihre Fähigkeiten begrenzen und die Angriffsfläche reduzieren. Überprüfen und auditieren Sie regelmäßig die Konfigurationen von LXD-Projekten, um potenziell anfällige Setups zu identifizieren. Eine schnelle Patch-Anwendung ist entscheidend, um das Risiko einer Ausnutzung zu minimieren.
Actualice a la versión 6.8.0 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la denylist incompleta que permite el bypass de las restricciones de bajo nivel en las máquinas virtuales, previniendo la escalada de privilegios.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
LXD ist ein System-Level-Virtualisierungsmanager, der die Erstellung und Verwaltung virtueller Maschinen vereinfacht.
Version 6.8.0 behebt CVE-2026-34177, die es einem Angreifer ermöglicht, vollständigen Cluster-Administratorzugriff auf den LXD-Cluster zu erhalten.
Es ist eine Berechtigung in LXD, die es einem Benutzer ermöglicht, die Konfiguration einer virtuellen Maschine zu ändern.
Es ist eine Projektbeschränkung in LXD, die verhindert, dass Benutzer bestimmte Low-Level-Optionen virtueller Maschinen ändern.
Ja, die Einschränkung des Zugriffs für Benutzer mit 'can_edit'-Berechtigungen und die Überprüfung der Konfigurationen von LXD-Projekten sind vorübergehende Maßnahmen, die dazu beitragen können, das Risiko zu verringern.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.