LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2841-1 runc

Bulletin d'alerte Debian

DLA-2841-1 runc -- Mise à jour de sécurité pour LTS

Date du rapport :

6 décembre 2021

Paquets concernés :

runc

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2021-43784.

Plus de précisions :

Il y avait un problème de dépassement d'entier dans runc, l'exécutable du projet Open Container, souvent utilisé avec Docker.

Le champ de longueur « bytemsg » de Netlink pouvait permettre à un attaquant d'écraser les configurations de conteneur basées sur Netlink. Cette vulnérabilité nécessitait que l'attaquant ait un certain contrôle sur la configuration du conteneur, mais aurait pu permettre à l'attaquant de contourner les restrictions de l'espace de noms du conteneur en ajoutant simplement leur propre charge utile de Netlink qui désactive tous les espaces de noms.

• CVE-2021-43784

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 0.1.1+dfsg1-2+deb9u3.

Nous vous recommandons de mettre à jour vos paquets runc.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.