NVIDIA Toolkit'in CVE-2024-0132 için Yarım Kalan Düzeltmesi Hâlâ Konteyner Kaçışlarına İzin Veriyor

11.04.2025

Siber güvenlik araştırmacıları, NVIDIA tarafından NVIDIA Container Toolkit'te bulunan ciddi bir güvenlik açığı için daha önce yayımlanan düzeltmenin eksik olduğunu keşfetti. CVE-2024-0132 olarak tanımlanan ve 9.0 CVSS puanına sahip bu açık, "kontrol zamanı ile kullanım zamanı arasındaki fark" (TOCTOU - Time of Check to Time of Use) hatasından kaynaklanıyor. Bu açık, kötü niyetli kişiler tarafından istismar edildiğinde, konteynerlerden çıkılarak ana sistem üzerinde yetkisiz erişim sağlanmasına olanak tanıyabilir.

Trend Micro tarafından yapılan yeni bir analize göre, Eylül 2024’te yayımlanan yama bu güvenlik açığını tam olarak gideremedi. Açık, mount files işlevinde yer alıyor ve bu işlev işlemler sırasında nesneleri düzgün şekilde kilitlemiyor. Özellikle 1.17.4 sürümünde allow-cuda-compat-libs-from-container özelliğinin etkin olduğu ortamlarda, bu durum saldırganların ana sistemde root yetkileriyle komut çalıştırmalarına olanak tanıyabilir.

İlgili bir başka güvenlik açığına da CVE-2025-23359 numarası verilmiş olup, bu açık da 9.0 CVSS puanına sahip. İlk olarak Wiz adlı şirket tarafından tespit edilen bu sorun, orijinal yamayı atlatma olarak değerlendiriliyor. NVIDIA, bu yeni güvenlik açığını 1.17.4 sürümünde düzeltmiş olsa da, araştırmacılar, güvenlik açığı zincirinin doğru şekilde önlenmediği takdirde hâlâ bir tehdit oluşturduğunu belirtiyor.

Araştırmacılar ayrıca, Linux sistemlerde Docker'ı etkileyen bir performans sorununu da keşfettiler. Birden fazla paylaşılan mount ile konteyner oluşturulduğunda, konteynerler durdurulduktan sonra mount tablosu düzgün şekilde temizlenmiyor. Bu durum, mount tablosunun hızla büyümesine ve nihayetinde mevcut dosya tanımlayıcılarının tükenmesine yol açıyor. Sonuç olarak, hizmet reddi (DoS) meydana geliyor ve yeni konteynerlerin başlatılmasını engelliyor.

Bu riskleri azaltmak için uzmanlar, mount tablosundaki olağan dışı büyümeyi izlemeyi, Docker API erişimini sınırlamayı, sıkı erişim denetimleri uygulamayı ve konteyner ile ana sistem arasındaki bağlantıları düzenli olarak denetlemeyi öneriyor. Bu adımlar, konteynerleştirilmiş ortamlarda sistem stabilitesini ve güvenliğini korumak için kritik öneme sahiptir.