Kubernetes

Trois vulnérabilités dans runC permettent de contourner l’isolation et d’accéder à l’hôte

Selon BleepingComputer, trois vulnérabilités nouvellement divulguées affectent le runtime de conteneurs runC, utilisé par Docker et Kubernetes. Trois failles critiques dans runC (Docker / Kubernetes) permettent d’échapper au conteneur Des vulnérabilités dévoilées cette semaine dans runC — le runtime de conteneurs de référence OCI utilisé par Docker et Kubernetes — peuvent permettre à un attaquant d’obtenir des accès en écriture au système hôte avec les privilèges root si elles sont exploitées. Les CVE sont CVE-2025-31133, CVE-2025-52565 et CVE-2025-52881 ; des correctifs sont inclus dans runC versions 1.2.8, 1.3.3, 1.4.0-rc.3 et ultérieures (CVE-2025-31133 & CVE-2025-52881 affectent toutes les versions ; CVE-2025-52565 impacte runC 1.0.0-rc3 et suivantes). ...

LinkPro : un rootkit eBPF cible Linux via l’exploitation de Jenkins et se propage sur EKS

Selon Synacktiv (analyse CSIRT), LinkPro a été découvert lors d’une investigation d’une compromission d’infrastructures AWS. L’étude fournit une analyse technique détaillée d’un rootkit eBPF sophistiqué ciblant Linux, ses vecteurs d’infection, ses modules, ses capacités C2, ainsi que des IOCs et des règles YARA. • Chaîne d’attaque et contexte: exploitation de Jenkins CVE-2024-23897 entraînant le déploiement d’images Docker malveillantes à travers des clusters EKS (Kubernetes sur AWS). • Composants: malware en Golang embarquant quatre modules ELF: une bibliothèque partagée (libld.so), un module noyau (arp_diag.ko), et deux programmes eBPF dédiés à la dissimulation et à l’activation réseau. ...

CVE-2025-10725 : faille critique dans OpenShift AI permettant une prise de contrôle totale du cluster

The Register (Jessica Lyons) signale une vulnérabilité majeure dans Red Hat OpenShift AI, identifiée comme CVE-2025-10725 et notée CVSS 9,9, permettant une élévation de privilèges depuis un compte faiblement privilégié jusqu’à administrateur de cluster. L’article a été publié le 1er octobre 2025. 🚨 La faille provient d’un ClusterRole nommé « kueue-batch-user-role » incorrectement lié au groupe system:authenticated. Cette liaison donne à toute entité authentifiée (ex. comptes de data scientists via Jupyter notebook) la permission de créer des Jobs OpenShift dans n’importe quel namespace. ...