Las siguientes versiones de B&R APROL estĂĄn afectadas:
- Versiones iguales o anteriores a R4.2-07 (SLES 12)Â
- Versiones iguales o anteriores a R4.4-00P2 (SLES 15)
B&R Automation ha publicado 5 vulnerabilidades, 3 de severidad alta y 2 de severidad media, cuya explotaciĂłn podrĂa permitir a un atacante tomar el control del producto insertando y ejecutando cĂłdigo arbitrario en componentes especĂficos de Docker Engine.
- Actualizar B&R APROL R4.2 a AutoYaST 4.2-070.0.240402.
- Actualizar B&R APROL R4.4 a AutoYaST 4.4-001.0.240327.
- Debido a una vulnerabilidad en la fuga interna de descriptor de archivo, un atacante podrĂa hacer que un proceso contenedor reciĂ©n creado tuviera un directorio de trabajo en el espacio de nombres del sistema de archivos del host, permitiendo una fuga del contenedor al dar acceso al sistema de archivos del host. El mismo ataque podrĂa ser utilizado para permitir que un proceso contenedor obtenga acceso al sistema de archivos host. Se ha asignado el identificador CVE-2024-21626 para esta vulnerabilidad.
- Dos pasos de compilaciĂłn maliciosos que se ejecutan en paralelo compartiendo los mismos montajes de cachĂ© con subrutas podrĂan causar una condiciĂłn de carrera que puede llevar a que los archivos del sistema anfitriĂłn sean accesibles al contenedor de compilaciĂłn. Se ha asignado el identificador CVE-2024-23651 para esta vulnerabilidad.
- BuildKit es un conjunto de herramientas para convertir el cĂłdigo fuente en artefactos de construcciĂłn de una manera eficiente, expresiva y repetible. Es posible utilizar estas API para pedir a BuildKit que ejecute un contenedor con privilegios elevados. Normalmente, la ejecuciĂłn de este tipo de contenedores solo se permite si el derecho especial `security.insecure` estĂĄ habilitado tanto por la configuraciĂłn de BuildKitd como por el usuario que inicializa la solicitud de compilaciĂłn. Se ha asignado el identificador CVE-2024-23653 para esta vulnerabilidad.
El detalle del resto de vulnerabilidades de severidad media se puede consultar en las referencias.
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para mĂĄs informaciĂłn o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catĂĄlogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestiĂłn que pueda tener.