Plateforme
go
Composant
github.com/cri-o/cri-o
Corrigé dans
1.30.1
1.29.5
1.28.7
1.28.7
1.28.7
1.28.7
La vulnérabilité CVE-2024-5154 affecte cri-o, un runtime de conteneur open source. Elle permet à un conteneur malveillant de créer un lien symbolique nommé "mtab" directement sur le système hôte. Cette action peut potentiellement conduire à une escalade de privilèges et compromettre la sécurité du système. Les versions de cri-o antérieures à 1.28.7 sont concernées, et une mise à jour est disponible pour corriger ce problème.
L'impact de cette vulnérabilité est significatif. Un attaquant compromettant un conteneur peut exploiter cette faille pour créer un lien symbolique "mtab" sur le système hôte. Le fichier "mtab" contient des informations sur les systèmes de fichiers montés, et sa manipulation peut permettre à un attaquant de modifier le comportement du système, d'accéder à des données sensibles ou d'exécuter du code arbitraire avec des privilèges élevés. Cette vulnérabilité pourrait être exploitée pour obtenir un accès root au système hôte, compromettant ainsi l'ensemble de l'infrastructure. Bien qu'il n'y ait pas de rapport d'exploitation publique direct, la capacité à créer des liens symboliques sur le système hôte représente un risque de sécurité majeur.
La vulnérabilité CVE-2024-5154 a été divulguée publiquement le 14 juin 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité (création de lien symbolique) la rend potentiellement exploitable. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une compromission initiale du conteneur. Aucun rapport sur le KEV de CISA n'est disponible pour le moment.
Organizations heavily reliant on containerized applications using cri-o are at risk. This includes Kubernetes clusters and environments utilizing cri-o as a container runtime. Specifically, deployments with lenient container isolation policies or those running older, unpatched cri-o versions are particularly vulnerable.
• linux / server:
journalctl -u cri-o -g "symlink creation"• linux / server:
find / -name mtab -type l• linux / server:
ps aux | grep cri-o | grep -i mtabdisclosure
Statut de l'Exploit
EPSS
1.68% (percentile 82%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour cri-o vers la version 1.28.7 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de renforcer les contrôles d'accès au répertoire racine du système hôte pour empêcher la création de liens symboliques. Il est également recommandé d'examiner les politiques de sécurité des conteneurs pour s'assurer qu'elles limitent les privilèges accordés aux conteneurs et restreignent leur capacité à interagir avec le système hôte. Surveillez attentivement les journaux du système pour détecter toute tentative de création de liens symboliques suspects.
Actualice cri-o a la versión 1.30.1 o superior, o a las versiones indicadas en los advisories de Red Hat (RHSA-2024:10818, RHSA-2024:3676, RHSA-2024:3700). Esto evitará que contenedores maliciosos creen enlaces simbólicos en el host y accedan a archivos arbitrarios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-5154 is a high-severity vulnerability in cri-o where a malicious container can create a symlink named 'mtab' on the host, potentially leading to privilege escalation.
You are affected if you are running cri-o versions prior to 1.28.7. Check your version and upgrade immediately.
Upgrade cri-o to version 1.28.7 or later. Consider stricter container isolation policies as an interim measure.
There are currently no known public exploits or active campaigns, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the cri-o project's security advisories for the latest information: https://github.com/cri-o/cri-o/security/advisories
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.