Siber güvenlik araştırmacıları, başarılı bir şekilde sömürülürse hassas verileri riske atabilecek NVIDIA konteyner araç setini etkileyen daha önce ele alınan bir güvenlik kusuru için eksik bir yama vakasını ayrıntılı olarak açıkladı.
Orijinal güvenlik açığı CVE-2024-0132 (CVSS skoru: 9.0), bir konteyner kaçış saldırısına yol açabilecek ve temel ana bilgisayara yetkisiz erişim sağlayabilecek bir kullanım süresi (Toctou) güvenlik açığıdır.
Bu kusur Eylül 2024’te NVIDIA tarafından çözülse de, Trend Micro tarafından yeni bir analiz, düzeltmenin tamamlanmadığını ve Linux’ta Docker’ı etkileyen bir hizmet reddi (DOS) durumuna neden olabilecek ilgili bir performans kusuru olduğunu ortaya koydu.
Trend Micro araştırmacısı Abdelrahman Esmail bugün yayınlanan yeni bir raporda, “Bu sorunlar, saldırganların konteyner izolasyonundan kaçmasını, duyarlı ana bilgisayar kaynaklarına erişmesini ve ciddi operasyonel aksamalara neden olabilir.” Dedi.
Toctou güvenlik açığının devam etmesi, özel olarak hazırlanmış bir kabın ana bilgisayar dosya sistemine erişmek ve rasgele komutları kök ayrıcalıklarıyla yürütmek için istismar edilebileceği anlamına gelir. Kusur, 1.17.4 sürümünü etkiler.
Trend Micro, “Mount_files işlevinde spesifik kusur var.” Dedi. “Sorun, bir nesne üzerinde işlem yaparken uygun kilitleme eksikliğinden kaynaklanıyor. Bir saldırgan, ayrıcalıkları artırmak ve ev sahibi bağlamında keyfi kod yürütmek için bu güvenlik açığından yararlanabilir.”
Ancak, bu ayrıcalık artışının çalışması için, saldırgan zaten bir kap içinde kod yürütme yeteneğini elde etmiş olmalıdır.
Eksikliğe, daha önce CVE-2025-23359 (CVSS Puanı: 9.0), daha önce CVE-2024-0132 için bir baypas olarak işaretlenen CVE-2025-23359 (CVSS skoru: 9.0) atandı. 1.17.4 sürümlerinde ele alınmıştır.
Siber güvenlik şirketi, CVE-2024-0132’nin analizi sırasında, ana makinede potansiyel olarak DOS güvenlik açığına yol açabilecek bir performans sorunu keşfettiğini söyledi. Linux sistemlerindeki Docker örneklerini etkiler.
Esmail, “(Bind-Propagation = paylaşılan) kullanılarak yapılandırılmış birden çok montaj ile yeni bir kap oluşturulduğunda, birden fazla ebeveyn/alt yolu oluşturulur. Ancak, konteyner sonlandırılmasından sonra ilişkili girişler Linux montaj tablosunda kaldırılmaz.” Dedi.
“Bu, montaj tablosunda hızlı ve kontrol edilemeyen bir büyümeye yol açar, mevcut dosya tanımlayıcılarını (FD) tüketir. Sonunda Docker, FD tükenmesi nedeniyle yeni kaplar oluşturamaz. Bu aşırı büyük montaj tablosu, kullanıcıların ana bilgisayara (yani SSH aracılığıyla) bağlanmasını önler.”
Sorunu azaltmak için, anormal büyüme için Linux montaj tablosunu izlemeniz, yetkili personele Docker API’sını sınırlandırmanız, güçlü erişim kontrol politikalarını uygulamak ve konteynerden konteyner dosya sistemi bağlamalarının, hacim bağlantılarının ve soket bağlantılarının periyodik denetimlerini yapmanız önerilir.