В инструменте для создания контейнеров Linux обнаружили четыре уязвимости runC

В инструменте CLI для создания и запуска контейнеров в Linux обнаружены четыре уязвимости runC. Об этом сообщает исследователь команды Snyk Security Labs.

Речь идет о проблемах безопасности CVE-2024-23652, CVE-2024-23653, CVE-2024-23651 и CVE-2024-21626. Первая оценивается в 10 баллов по CVSS, остальные — в 9.8; 8.7 и 8.6 баллов соответственно.

Все четыре уязвимости позволяют потенциальному злоумышленнику получить несанкционированный доступ к базовой ОС хоста, а следовательно конфиденциальным данным. При получении привилегий суперпользователя уязвимости можно использовать для последующих атак.

CVE-2024-21626 исправлена в версии runC 1.1.12. Свидетельств активного использования обнаруженных уязвимостей в реальных атаках пока нет. В Snyk Security Labs рекомендовали пользователям и дальше пристально следить за обновлениями.