Bulletins

Une faille dans le noyau Linux permet l'évasion des conteneurs

bs1.jpg

Une vulnérabilité de haute gravité a été trouvée dans le noyau Linux qui permet d'échapper d'un conteneur pour exécuter des commandes arbitraires sur l'hôte du conteneur.

Suivie sous le nom de CVE-2022-0492 (score CVSS : 7,0), la faille a reçu un score de criticité de 7 sur 10.

"Une vulnérabilité a été découverte dans la fonction cgroup_release_agent_write du noyau Linux dans la fonction kernel/cgroup/cgroup-v1.c. Cette faille, dans certaines circonstances, permet à l'utilisation de la fonction cgroups v1 release_agent d'escalader les privilèges et de contourner l'isolation de l'espace de noms de manière inattendue ", peut-on lire dans l'avis publié pour cette faille.

"Parce que Linux définit le propriétaire du fichier release_agent comme étant root, seul root peut écrire dans ce fichier (ou les processus qui peuvent contourner les contrôles de permission du fichier via la capacité CAP_DAC_OVERRIDE). En tant que telle, la vulnérabilité permet uniquement aux processus root d'élever leurs privilèges", peut-on lire dans l'analyse publiée par le chercheur Yuval Avrahami de l'unité 42 de Palo Alto Networks. "À première vue, une vulnérabilité d'élévation de privilèges qui ne peut être exploitée que par l'utilisateur root peut sembler bizarre. L'exécution en tant que root ne signifie pas nécessairement un contrôle total de la machine : Il existe une zone grise entre l'utilisateur root et les privilèges complets qui incluent les capacités, les espaces de noms et les conteneurs. Dans ces scénarios où un processus root n'a pas le contrôle total de la machine, CVE-2022-0492 devient une vulnérabilité sérieuse."

Il est recommandé aux utilisateurs d'appliquer les correctifs de sécurité dès que possible. Les conteneurs exécutant les systèmes de sécurité AppArmor ou SELinux ne sont pas impactés.