Exposición del descriptor de archivo en productos ADS-TEC Industrial IT

Exposición del descriptor de archivo en productos ADS-TEC Industrial IT

Recursos Afectados
  • DVG-IRF1401, DVG-IRF1421: IRF1000, versión 1.6.9 y anteriores,
  • DVG-IRF3401, DVG-IRF3421, DVG-IRF3801. DVG-IRF3821: IRF3000 versión 1.3.9 y anteriores.
Descripción

CERT@VDE ha coordinado con ADS-TEC Industrial IT una vulnerabilidad que podría permitir en el host el escape de un Docker al otorgar acceso al sistema de archivos, que un proceso Docker obtenga acceso al sistema de archivos y usarse para sobrescribir archivos binarios.

4 – Alta
Solución

El problema se resuelve con IRF1000 versión 1.6.10 e IRF3000 versión 1.3.10.

Detalle

La vulnerabilidad detectada de tipo exposición del descriptor de archivo a una esfera de control no deseada (File Descriptor Leak) podría provocar que un proceso contenedor recién generado (de runc exec) tuviera un directorio de trabajo en el espacio de nombres del sistema de archivos del host, lo que permitiría un escape del contenedor al otorgar acceso al sistema de archivos. El mismo ataque podría ser utilizado por una imagen maliciosa para permitir que un proceso contenedor obtenga acceso al sistema de archivos del host a través de runc run). Las variantes de los ataques anteriores también podrían usarse para sobrescribir archivos binarios de host semiarbitrarios, permitiendo escapes completos de contenedores runc.

Se ha asignado el identificador CVE-2024-21626 para esta vulnerabilidad.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.