CVE-2025-58356

Nome do Software Vulnerável e Versões Afetadas Versões do Constellation anteriores à 2.24.0

Descrição O Constellation é uma plataforma Kubernetes confidencial que utiliza volumes criptografados com LUKS2 para armazenamento persistente. Ao abrir um dispositivo de armazenamento criptografado, o sistema utiliza a função crypt activate by passhrase da biblioteca libcryptsetup. Existe uma vulnerabilidade no tratamento de algoritmos de keyslot nulos nas versões do cryptsetup anteriores à 2.8.1, o que pode permitir que um volume pareça estar criptografado quando não está. Especificamente, as versões do cryptsetup anteriores à 2.8.1 não sinalizam um erro ao encontrar discos LUKS2 que utilizam o algoritmo cipher null-ecb no campo de criptografia do keyslot. Um host malicioso poderia fornecer um volume LUKS2 manipulado a um guest de computação confidencial, resultando em dados secretos sendo escritos com uma chave de volume conhecida pelo atacante, ou dados pré-carregados comprometendo a execução do guest. Os metadados do volume LUKS2 não possuem autenticação, permitindo que um atacante crie um volume que é aberto sem erros, grava dados em texto simples (ou com uma chave conhecida pelo atacante) e contém dados arbitrários. Este problema ocorre porque o algoritmo de criptografia do keyslot pode ser definido como crypto null-ecb, contornando a necessidade de dados secretos mantidos no enclave durante a descriptografia.

Recomendações Atualize para a versão 2.24.0 ou posterior do Constellation.