Kritische Sicherheitslücke in Kata Containers: CVE-2026-24834 erlaubt Schadcode-Ausführung

Zusammenfassung

Eine Sicherheitslücke in Kata Containers, einer Open-Source-Lösung für leichtgewichtige virtuelle Maschinen, erlaubt es Angreifern, das Dateisystem der Guest-Micro-VM zu manipulieren und so Schadcode mit Root-Rechten auszuführen. Obwohl das Host-System selbst nicht direkt gefährdet ist, können bestimmte Konfigurationen, insbesondere mit arm64 QEMU ohne NVDIMM-Schreibschutz, theoretisch auch den Host-Rechner kompromittieren. Ein Update auf Version 3.27.0 ist erforderlich, um diese kritische Sicherheitslücke, bekannt als CVE-2026-24834, zu beheben.

Kata-containers - Kata-containers - CRITICAL - CVE-2026-24834. Kata Containers, an open-source initiative for lightweight virtual machines that operate like containers, has a vulnerability related to the Cloud Hypervisor. In versions prior to 3.27.0, this flaw allows unauthorized users to modify the file system of the Guest micro VM, potentially leading to arbitrary code execution with root privileges in that VM. While this vulnerability does not seem to affect the security of the host machine or other running containers/VMs, it is important to note that certain configurations, particularly those involving arm64 QEMU without NVDIMM read-only support, could theoretically expose the host to risks. Updating to version 3.27.0 is essential to mitigate this issue.