Plateforme
linux
Composant
openshift-update-service
Corrigé dans
1.10.0
2.5.4
CVE-2025-57854 describes a privilege escalation vulnerability discovered in Red Hat OpenShift Update Service (OSUS) images. This flaw allows attackers with command execution capabilities within a container to potentially gain root privileges by manipulating the /etc/passwd file. The vulnerability impacts versions 1.0.0 through 2.5.3 of OSUS, and a fix is available in version 2.5.4.
Une vulnérabilité d'escalade de privilèges dans les conteneurs a été identifiée dans certaines images d'OpenShift Update Service (OSUS). Ce problème est dû au fait que le fichier /etc/passwd est créé avec des permissions d'écriture pour le groupe pendant le processus de construction de l'image. Dans certaines conditions, un attaquant capable d'exécuter des commandes dans un conteneur affecté, même en tant qu'utilisateur non root, peut exploiter son appartenance au groupe 'root' pour modifier le fichier /etc/passwd. Cela pourrait permettre à l'attaquant d'ajouter un nouvel utilisateur avec un UID arbitraire, y compris l'UID 0 (root), entraînant une escalade de privilèges et un contrôle total du conteneur.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant ait la capacité d'exécuter des commandes dans un conteneur affecté. Bien que l'attaquant n'ait pas besoin d'être root initialement, la vulnérabilité permet la création d'un utilisateur root. La complexité de l'exploitation dépend de la configuration du conteneur et des politiques de sécurité en place. La présence d'outils de manipulation de fichiers dans le conteneur pourrait faciliter l'exploitation. L'absence de restrictions sur l'exécution des commandes augmente également le risque.
Organizations utilizing Red Hat OpenShift Update Service in production environments, particularly those running versions 1.0.0 through 2.5.3, are at risk. Environments with less stringent container security policies or those relying on default configurations are especially vulnerable. Shared hosting environments using OSUS also face increased risk due to the potential for cross-container contamination.
• linux / server:
journalctl -u osus -g 'passwd modification'• linux / server:
find / -perm -g+w -name 'passwd' 2>/dev/null• linux / server:
ps aux | grep -i passwddisclosure
Statut de l'Exploit
EPSS
0.00% (percentile 0%)
CISA SSVC
Vecteur CVSS
Red Hat recommande de mettre à niveau vers la version 2.5.4 ou ultérieure d'OpenShift Update Service (OSUS) dès que possible. Cette version inclut une correction qui supprime les permissions d'écriture pour le groupe sur le fichier /etc/passwd pendant la construction de l'image, atténuant ainsi la vulnérabilité. Pendant l'application de la mise à niveau, il est recommandé de revoir les politiques de sécurité des conteneurs pour s'assurer que le principe du moindre privilège est appliqué et que les permissions des utilisateurs dans les conteneurs sont limitées. La surveillance des journaux système à la recherche d'activités suspectes est également essentielle pour détecter d'éventuelles tentatives d'exploitation.
Actualice a la versión 2.5.4 o posterior de Red Hat OpenShift Update Service. Esta versión corrige el problema al asegurar que el archivo /etc/passwd se cree con permisos adecuados, evitando la modificación no autorizada por usuarios con privilegios de grupo root.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Toutes les versions d'OSUS antérieures à la 2.5.4 sont vulnérables à cette vulnérabilité.
Vérifiez la version d'OSUS que vous utilisez. Si elle est antérieure à la 2.5.4, vous êtes affecté.
Mettez en œuvre des mesures d'atténuation telles que la restriction des permissions d'utilisateur et la surveillance des journaux.
Actuellement, il n'y a pas de correctif temporaire disponible. La mise à niveau vers la version 2.5.4 ou ultérieure est la solution recommandée.
L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant d'obtenir un accès root à un conteneur, compromettant potentiellement la sécurité du cluster.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.