Vulnérabilité dans le gestionnaire de conteneur runc
Date de publication :
CVE-2021-30465 [Score CVSS v3 : 8.5]
Une vulnérabilité pouvant permettre une attaque par échange de liens symboliques dans runc à été corrigée. Un attaquant, en utilisant une image de conteneur malveillante peut être en mesure de monter le système de fichiers de l'hôte dans le conteneur afin d’élever ses privilèges sur le système hôte sous-jacent.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Elévation de privilèges
Criticité
- Scores CVSS v3 : 8.5
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Les versions de runc 1.0.0-rc93 et antérieures sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour runc vers la version 1.0.0-rc94.
- Des informations sur les différentes versions sont disponibles ici :
https://ubuntu.com/security/notices/USN-4960-1
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.