Los investigadores de seguridad cibernética han detallado un caso de un parche incompleto para una rotura de seguridad previamente abordada que afecta el kit de herramientas de contenedores NVIDIA que, si se explota con éxito, podría poner en peligro los datos confidenciales.
La vulnerabilidad diferente CVE-2024-0132 (puntaje CVSS: 9.0) es una vulnerabilidad de tiempo de uso (TCTOU) de tiempo de comprobación que podría conducir a un ataque de escape de contenedores y permitir el entrada no calificado al host subyacente.
Si perfectamente NVIDIA resolvió este defecto en septiembre de 2024, un nuevo investigación de Trend Micro ha revelado que la decisión está incompleta y que además existe una rotura de rendimiento relacionada que afecta a Docker en Linux que podría dar circunstancia a una condición de denegación de servicio (DOS).
«Estos problemas podrían permitir a los atacantes escapar del aislamiento de contenedores, lograr a los posibles del huésped confidenciales y causar graves interrupciones operativas», dijo hoy en un nuevo crónica publicado hoy.
El hecho de que persista la vulnerabilidad de TCTOU significa que se podría aprovecharse de un contenedor especialmente fabricado para lograr al sistema de archivos host y ejecutar comandos arbitrarios con privilegios raíz. El fallas impacta la traducción 1.17.4 Si la función Permitir-Cuda-Compat-libs-de-continer está explícitamente competente.
«El defecto específico existe adentro de la función Mount_files», dijo Trend Micro. «El problema resulta de la errata de cerco adecuado al realizar operaciones en un objeto. Un atacante puede utilizar esta vulnerabilidad para aumentar los privilegios y ejecutar código abusivo en el contexto del host».
Sin incautación, para que esta ascenso de privilegios funcione, el atacante ya debe favor obtenido la capacidad de ejecutar código adentro de un contenedor.
A la deficiencia se le ha asignado al identificador CVE CVE-2025-23359 (puntaje CVSS: 9.0), que anteriormente fue afectado por la firma de seguridad en la cúmulo Wiz como además un derivación para CVE-2024-0132 en febrero de 2025. Se ha abordado en la traducción 1.17.4.
La compañía de seguridad cibernética dijo que además descubrió un problema de rendimiento durante el investigación del CVE-2024-0132 que podría conducir a una vulnerabilidad de DOS en la máquina host. Afecta las instancias de Docker en los sistemas Linux.
«Cuando se crea un nuevo contenedor con múltiples monturas configuradas usando (Bind-Propagation = Shared), se establecen múltiples rutas de padres/hijos. Sin incautación, las entradas asociadas no se eliminan en la tabla de montaje de Linux posteriormente de la terminación del contenedor», dijo Esmail.
«Esto lleva a un crecimiento rápido e incontrolable de la tabla de montaje, agotando los descriptores de archivos disponibles (FD). Eventualmente, Docker no puede crear nuevos contenedores correcto al agotamiento de FD. Esta tabla de montaje excesivamente noble conduce a un gran problema de rendimiento, evitando que los usuarios se conecten al host (es aseverar, a través de SSH)».
Para mitigar el problema, se recomienda monitorear la tabla de montaje de Linux para un crecimiento anormal, circunscribir el entrada a la API de Docker al personal calificado, hacer cumplir las políticas de control de entrada fuertes y realizar auditorías periódicas de las enlaces de archivos del contenedor a host, montajes de masa y conexiones de socket.
