ALT-PU-2025-16820-1

Обновление пакета cloud-init в ветке sisyphus

Версия25.1.4-alt1

Задание#389808

Опубликовано2025-07-28

Макс. серьёзностьHIGH

Серьёзность:

Закрытые проблемы (4)

HIGH8.8

Уязвимость инструмента инициализации облачных виртуальных машин Cloud-Init, связанная с недостатками процедуры аутентификации, позволяющая нарушителю повысить свои привилегии до уровня root

Опубликовано: 2025-09-08Изменено: 2026-04-20

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0ВЫСОКАЯ 8.3

CVSS:2.0/AV:A/AC:L/Au:N/C:C/I:C/A:C

Ссылки

CVE-2024-6174

MEDIUM5.9

Уязвимость инструмента для настройки облачного сервера Cloud-init, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнять произвольные команды

Опубликовано: 2025-09-10Изменено: 2026-04-20

CVSS 3.xСРЕДНЯЯ 5.9

CVSS:3.x/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0СРЕДНЯЯ 4.6

CVSS:2.0/AV:L/AC:L/Au:N/C:P/I:P/A:P

Ссылки

CVE-2024-11584

MEDIUM5.3

cloud-init through 25.1.2 includes the systemd socket unit cloud-init-hotplugd.socket with default SocketMode that grants 0666 permissions, making it world-writable. This is used for the "/run/cloud-init/hook-hotplug-cmd" FIFO. An unprivileged user could trigger hotplug-hook commands.

Опубликовано: 2025-06-26Изменено: 2025-09-05

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Ссылки

HIGH8.8

When a non-x86 platform is detected, cloud-init grants root access to a hardcoded url with a local IP address. To prevent this, cloud-init default configurations disable platform enumeration.

Опубликовано: 2025-06-26Изменено: 2025-08-26

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

https://github.com/canonical/cloud-init/releases/tag/25.1.3