Een nieuwe kwetsbaarheid is ontdekt in de Netavark-pakket voor Podman, geïdentificeerd als CVE-2025-8283. Dit probleem kan ervoor zorgen dat Netavark onverwachte externe servers aanspreekt bij het oplossen van hostnamen. Dit kan gebeuren wanneer een container met een specifieke naam wordt aangemaakt, welke als hostnaam voor de container wordt gebruikt, zonder dat de Podman-zoekdomein wordt toegevoegd. Hierdoor gebruikt de container het resolv.conf van de host, en zoekt de DNS-resolver naar domeinen die mogelijk overeenkomen met de containernaam, wat kan leiden tot verkeerde externe resoluties.
Overzicht
De kwetsbaarheid is gerapporteerd op 28 juli 2025 en treft diverse Red Hat-producten. Het betreft een beheersbaar risico met een lage ernstscore van 3.7 volgens CVSS 3.1. Hoewel het aanvallen op netwerkniveau vereist en complexiteit hoog is, behoeft de aanvaller geen speciale toegangsrechten of gebruiksinteractie.
Aanbevelingen
- Stel containers zo in dat hun hostnamen het formaat
<naam>.dns.podmanaanhouden. Deze naamgevingsconventie voorkomt dat Aardvark-DNS deze verzoeken naar externe zoekdomeinen doorstuurt, waardoor potentiële blootstelling of ongewenst netwerkgedrag vermindert.
Vraag en Antwoord
Wat is CVE-2025-8283?
Dit CVE beschrijft een kwetsbaarheid in de Netavark-tool van Podman voor containerbeheer, die kan leiden tot verkeerde hostnaamresoluties op basis van DNS-instellingen.
Welke systemen zijn kwetsbaar voor CVE-2025-8283?
- Red Hat Enterprise Linux 8, 9, en 10 met Netavark.
- Red Hat OpenShift Container Platform 4.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment zijn er nog geen specifieke patches beschikbaar. Het is aanbevolen om de aanbevolen workaround te volgen.
Bronnen
Red Hat dankt Johannes Kasberger voor het rapporteren van dit probleem.
