CVE-2025-9566
Mis à jour :
Contamination de fichiers hôtes via Podman
Une faille de sécurité dans Podman, identifiée sous le nom de CVE-2025-9566, permet à des acteurs malveillants d’écraser des fichiers sur le système hôte. Ce risque survient lors de l’utilisation de la commande kube play si le fichier de configuration YAML utilisé contient une référence à un volume de type ConfigMap ou Secret, et que ce volume contient déjà un lien symbolique pointant vers un fichier du système hôte.
Points Clés :
- La vulnérabilité exploite la manière dont Podman gère les montages de volumes et les liens symboliques.
- L’exploitation est possible lors du premier démarrage du conteneur, où un lien symbolique malveillant peut être créé.
- Les démarrages ultérieurs du conteneur suivront ce lien, permettant l’écriture dans des fichiers arbitraires de l’hôte.
Vulnérabilité :
- CVE-2025-9566 : Permet l’écrasement de fichiers hôtes via un montage de volume ConfigMap/Secret avec un lien symbolique existant.
Recommandations :
Bien que les détails des correctifs ne soient pas précisés dans l’extrait, il est implicite que les utilisateurs de Podman devraient :
- Mettre à jour Podman dès que des correctifs sont disponibles.
- Examiner attentivement la configuration des volumes dans les fichiers YAML, en particulier ceux qui font référence à des ConfigMaps ou des Secrets.
- Éviter d’utiliser des liens symboliques dans les volumes de conteneurs qui pourraient potentiellement pointer vers des fichiers sensibles du système hôte.