网络安全研究人员详细阐述了一个案例,即针对此前已修复的一个安全漏洞的补丁并不完整,该漏洞影响 NVIDIA Container Toolkit。如果该漏洞被成功利用,可能会使敏感数据面临风险。
最初的漏洞 CVE-2024-0132(通用漏洞评分系统(CVSS)评分为 9.0)是一个 “检查时间与使用时间”(TOCTOU)漏洞,可能会导致容器逃逸攻击,并允许未经授权访问底层主机。
尽管 NVIDIA 在 2024 年 9 月已修复了这个漏洞,但Trend Micro 的一项新分析显示,该修复并不完整,而且还存在一个相关的性能漏洞,影响 Linux 系统上的 Docker,可能会导致拒绝服务(DoS)情况的发生。
“这些问题可能会让攻击者突破容器隔离,访问敏感的主机资源,并造成严重的运行中断,” Trend Micro 研究人员 Abdelrahman Esmail 在今天发布的一份新报告中表示。
TOCTOU 漏洞依然存在,这意味着特制的容器可能会被滥用来访问主机文件系统,并以 root 权限执行任意命令。如果显式启用了 “allow-cuda-compat-libs-from-container” 功能,该漏洞会影响 1.17.4 版本。
“具体的漏洞存在于 mount_files 函数中,” Trend Micro 称。“这个问题是由于在对对象执行操作时缺乏适当的锁定机制导致的。攻击者可以利用这个漏洞提升权限,并在主机环境中执行任意代码。”
然而,要使这种权限提升得以实现,攻击者必须已经获得了在容器内执行代码的能力。
这一缺陷已被赋予 CVE 标识符 CVE-2025-23359(CVSS 评分为 9.0),云安全公司 Wiz 在 2025 年 2 月就曾指出,它也是对 CVE-2024-0132 的一种绕过方式。该问题已在 1.17.4 版本中得到修复。
这家网络安全公司表示,在对 CVE-2024-0132 的分析过程中,他们还发现了一个性能问题,这有可能在主机上引发拒绝服务漏洞。它会影响 Linux 系统上的 Docker 实例。
“当使用(bind-propagation=shared)配置多个挂载点来创建新容器时,会建立多个父子路径。然而,在容器终止后,相关条目并未从 Linux 挂载表中删除,” Esmail 说。
“这会导致挂载表迅速且不受控制地增长,耗尽可用的文件描述符(fd)。最终,由于文件描述符耗尽,Docker 无法创建新的容器。这个过大的挂载表会导致严重的性能问题,使用户无法连接到主机(即通过 SSH)。”
为缓解这一问题,建议监控 Linux 挂载表是否有异常增长,限制 Docker API 仅授权人员访问,实施严格的访问控制策略,并定期审核容器到主机的文件系统绑定、卷挂载和套接字连接。
发表评论
您还未登录,请先登录。
登录