Peneliti cybersecurity telah merinci kasus tambalan yang tidak lengkap untuk cacat keamanan yang sebelumnya diatasi dengan berdampak pada toolkit kontainer NVIDIA yang, jika berhasil dieksploitasi, dapat membahayakan data sensitif.
Kerentanan asli CVE-2024-0132 (skor CVSS: 9.0) adalah kerentanan waktu penggunaan waktu-penggunaan (TOCTOU) yang dapat menyebabkan serangan pelarian kontainer dan memungkinkan akses yang tidak sah ke host yang mendasarinya.
Sementara cacat ini diselesaikan oleh NVIDIA pada bulan September 2024, analisis baru oleh Trend Micro telah mengungkapkan perbaikan yang tidak lengkap dan bahwa ada juga cacat kinerja terkait Docker pada Linux yang dapat menghasilkan kondisi penolakan layanan (DOS).
“Masalah -masalah ini dapat memungkinkan penyerang untuk menghindari isolasi kontainer, akses sumber daya host yang sensitif, dan menyebabkan gangguan operasional yang parah,” kata peneliti mikro tren Abdelrahman Esmail dalam sebuah laporan baru yang diterbitkan hari ini.
Fakta bahwa kerentanan TOCTOU tetap berarti bahwa wadah yang dibuat khusus dapat disalahgunakan untuk mengakses sistem file host dan menjalankan perintah sewenang -wenang dengan hak istimewa root. Dampak cacat versi 1.17.4 Jika fitur memungkinkan compat-compat-libs-from-container diaktifkan secara eksplisit.
“Kelemahan spesifik ada dalam fungsi mount_files,” kata Trend Micro. “Masalah hasil dari kurangnya penguncian yang tepat saat melakukan operasi pada suatu objek. Seorang penyerang dapat memanfaatkan kerentanan ini untuk meningkatkan hak istimewa dan menjalankan kode sewenang -wenang dalam konteks host.”
Namun, agar eskalasi hak istimewa ini bekerja, penyerang harus telah memperoleh kemampuan untuk menjalankan kode dalam wadah.
Kekurangan telah diberikan pengidentifikasi CVE CVE-2025-23359 (skor CVSS: 9.0), yang sebelumnya ditandai oleh perusahaan keamanan cloud Wiz juga bypass untuk CVE-2024-0132 pada bulan Februari 2025. Ini telah ditangani dalam versi 1.17.4.
Perusahaan cybersecurity mengatakan juga menemukan masalah kinerja selama analisis CVE-2024-0132 yang berpotensi menyebabkan kerentanan DOS pada mesin host. Ini mempengaruhi instance Docker pada sistem Linux.
“Ketika wadah baru dibuat dengan beberapa dudukan yang dikonfigurasi menggunakan (bind-propagation = dibagikan), beberapa jalur induk/anak ditetapkan. Namun, entri terkait tidak dihapus dalam tabel mount Linux setelah penghentian kontainer,” kata Esmail.
“Ini mengarah pada pertumbuhan tabel mount yang cepat dan tidak terkendali, melelahkan deskriptor file yang tersedia (FD). Akhirnya, Docker tidak dapat membuat wadah baru karena kelelahan FD. Tabel mount yang terlalu besar ini mengarah ke masalah kinerja yang sangat besar, mencegah pengguna yang terhubung ke host (IE, melalui SSH).”
Untuk mengurangi masalah ini, disarankan untuk memantau tabel Linux Mount untuk pertumbuhan yang tidak normal, membatasi akses API Docker ke personel yang berwenang, menegakkan kebijakan kontrol akses yang kuat, dan melakukan audit berkala dari binding sistem file kontainer-ke-host, volume mount, dan koneksi soket.
