BuildKit 可以通过安装存根清理器访问主机系统 (CVE-2024-23652)
CVE编号
CVE-2024-23652利用情况
暂无补丁情况
N/A披露时间
2024-02-01漏洞描述
BuildKit是一个工具包,用于以高效、表达力强和可重复的方式将源代码转换为构建构件。恶意的BuildKit前端或使用RUN --mount的Dockerfile可以欺骗删除为挂载点创建的空文件的特性,从而删除容器外的主机系统文件。已在v0.12.5中修复了该问题。解决方法包括避免使用来自不受信任的源的BuildKit前端,或构建包含RUN --mount特性的不受信任的Dockerfile。解决建议
"将组件 github.com/moby/buildkit 升级至 0.12.5 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/moby/buildkit/pull/4603 | |
| https://github.com/moby/buildkit/releases/tag/v0.12.5 | |
| https://github.com/moby/buildkit/security/advisories/GHSA-4v98-7qmw-rqr8 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 无
- 可用性 高
- 保密性 无
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-22 | 对路径名的限制不恰当(路径遍历) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论