Обнаружены 4 уязвимости runC для хищения конфиденциальных данных

05.02.2024
Обнаружены 4 уязвимости runC для хищения конфиденциальных данных

ru.freepik.com

Исследователь команды Snyk Security Labs сообщает об обнаружении четырех уязвимостей runC в инструменте CLI для создания и запуска контейнеров в Linux.

Речь идет о проблемах безопасности CVE-2024-23652, CVE-2024-23653, CVE-2024-23651 и CVE-2024-21626.

Все четыре уязвимости позволяют потенциальному злоумышленнику получить несанкционированный доступ к базовой ОС хоста, а, следовательно, конфиденциальным данным. При получении привилегий суперпользователя уязвимости можно использовать для последующих атак.

CVE-2024-21626 исправлена в версии runC 1.1.12. Свидетельств активного использования обнаруженных уязвимостей в реальных атаках пока нет. В Snyk Security Labs рекомендовали пользователям и дальше пристально следить за обновлениями.

Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» отмечает, что использование контейнеризации в инфраструктурах компаний – это новый и быстроразвивающийся тренд. «Вопрос защиты таких сред сегодня становится тоже все более актуальными. Поэтому, важно обеспечить контроль на разных уровнях: контроль целостности, контроль сетевых политик, проверки на наличие известных уязвимостей и построение векторов атак, немаловажным аспектом защиты является и организация ролевой модели доступа с использованием минимальных привилегий. Таким образом, выстраивая периметр защиты, совмещая несколько инструментов, вы сможете минимизировать для злоумышленника возможность взлома инфраструктуры», – говорит Юлия Парфенова.

Читайте также
О том, как живет и развивается проект «Умный город», чем он уникален и как вписывается в национальный проект «Экономика данных и цифровая трансформация государства», порталу IT-World рассказывает Анатолий Курманов, заместитель руководителя рабочей группы Минстроя России по реализации проекта «Умный город».

Похожие статьи