关键漏洞信息 漏洞概述 标题: Insecure LUKS2 persistent storage partitions may be opened and used CVE ID: CVE-2025-59054 严重性: High 受影响版本: < 0.5.4 修复版本: 0.5.4 漏洞描述 摘要: - 攻击者可能提供一个恶意的LUKS2数据卷给Dstack CVM,用于作为/data挂载点。客户会使用攻击者已知的卷密钥打开卷并写入秘密数据,导致Wireguard密钥和其他敏感信息的泄露。 - 攻击者还可以预加载设备上的数据,这可能会危及客户执行。 - LUKS2卷元数据未经过身份验证,并支持空密钥加密算法,允许攻击者创建一个卷,该卷: - 使用任何密码或令牌无错误地打开(cryptsetup open) - 记录所有明文写入(或使用攻击者已知密钥的密文) - 包含攻击者选择的任意数据 检测方法 检查LUKS2头文件中是否使用了名为“cipher_null_ecb”的加密算法,例如使用以下命令: 推荐措施 部分修复:计划在本周发布的cryptsetup版本2.8.1中禁用密钥槽中的空加密算法,当用户密码为空时。建议客户在可用时迁移到cryptsetup 2.8.1。但这并不能完全解决卷加密中的空加密问题。 短期解决方案:通过分离头模式将LUKS磁盘元数据测量到RTMRS中。例如: 长期解决方案:考虑添加一个覆盖存储设备完整头的加密MAC,以确保检测到任何字段的篡改。 时间线与协调 发现日期: 2025-08-07 cryptsetup供应商通知: 2025-08-15 协调公开披露目标: 2025-10-01 15:00 UTC