Debian va publicar l’1 de març de 2026 l’avís DSA-6153-1 per a LXD, el gestor de contenidors i màquines virtuals. L’error central, CVE-2026-23953, deixa que un usuari amb permís per llançar contenidors acabi executant ordres arbitràries a l’amfitrió. I no com un usuari qualsevol: com a root.
Què passa exactament
El problema és una injecció de salts de línia (CWE-93) en la manera com LXD/Incus processa les variables d’entorn d’un contenidor. Quan arrenques un contenidor amb una configuració YAML pròpia, pots definir variables d’entorn. Abans del pegat, aquests valors s’escrivien tal qual al fitxer lxc.conf del contenidor, sense comprovar si contenien caràcters de nova línia.
Aquí hi ha el truc. Si poses un \n dins del valor d’una variable, el que ve al darrere s’interpreta com una línia més de configuració de lxc.conf. I lxc.conf admet directives com lxc.hook.pre-start, que executen una ordre a l’amfitrió abans d’arrencar el contenidor. Injectes un hook, l’apuntes cap al que vulguis executar i aquesta ordre corre amb privilegis de root a la màquina amfitriona.
A qui afecta
Necessites poder llançar un contenidor amb configuració personalitzada, normalment perquè pertanys al grup incus (o l’equivalent a LXD). No és un forat remot que qualsevol exploti des d’Internet: cal accés local i permisos d’un cert nivell. El risc real són els comptes compromesos i els usuaris interns amb dret a arrencar contenidors, que amb això salten directament a root de l’amfitrió i s’emporten l’aïllament que se suposa que aporta la contenidorització.
Les versions d’Incus afectades són la 6.20.0 i anteriors (en concret, fins a la 6.0.5 i de la 6.1.0 a la 6.20.0). El CVE té una puntuació CVSS 8.7.
Gravetat i pegat
Debian classifica l’avís com a important. La correcció va arribar a la versió 5.0.2-5+deb12u3 per a Debian 12 (Bookworm) i a la versió equivalent de Debian 13 (Trixie). El pegat afegeix una comprovació que rebutja salts de línia a les claus i valors de les variables d’entorn, així que ja no es pot colar res extra a lxc.conf.
Si gestiones contenidors LXD a Debian, actualitza el paquet com més aviat millor:
sudo apt update && sudo apt upgrade lxdMentre no apliquis el pegat, revisa qui hi ha al grup amb permís per llançar contenidors. Com menys gent pugui arrencar contenidors amb YAML arbitrari, menor és la superfície d’atac. Això és bona higiene fins i tot després d’actualitzar.
L’avís original de Debian agrupava dos errors d’execució d’ordres via configuracions malformades; CVE-2026-23953 és el de més impacte pel seu salt directe a root.
Font
- Debian Security Announce - DSA-6153-1: https://lists.debian.org/debian-security-announce/2026/msg00062.html
- NVD - CVE-2026-23953: https://nvd.nist.gov/vuln/detail/CVE-2026-23953