Moby 经典构建器缓存中毒 (CVE-2024-24557)
CVE编号
CVE-2024-24557利用情况
暂无补丁情况
N/A披露时间
2024-02-02漏洞描述
Docker Moby是Docker创建的开源项目,用于实现软件容器化。经典构建器缓存系统存在缓存毒化漏洞,当镜像是从头构建时容易受到攻击。此外,对某些指令的更改(最重要的是HEALTHCHECK和ONBUILD)不会导致缓存失效。攻击者只需获知某人正在使用的Dockerfile,就能通过让其拉取经过特殊构造的镜像来毒化其缓存,而这个镜像会被认为是某些构建步骤的有效缓存候选项。23.0+用户只有在明确选择退出Buildkit(DOCKER_BUILDKIT=0环境变量)或使用/build API端点时才会受到影响。而在23.0之前的所有用户都可能受到影响。/build镜像构建API端点和来自github.com/docker/docker/client的ImageBuild函数也存在此问题,因为它们默认使用经典构建器。补丁已经包含在24.0.9和25.0.2版本中。解决建议
"将组件 github.com/moby/moby 升级至 24.0.9 及以上版本""将组件 github.com/moby/moby 升级至 25.0.2 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/moby/moby/commit/3e230cfdcc989dc524882f6579f9e0dac77400ae | |
| https://github.com/moby/moby/security/advisories/GHSA-xw73-rw38-6vjc |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.19 | docker | * | Up to (excluding) 25.0.2-r0 | |||||
- 攻击路径 本地
- 攻击复杂度 高
- 权限要求 无
- 影响范围 已更改
- 用户交互 需要
- 可用性 低
- 保密性 低
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-345 | 对数据真实性的验证不充分 |
| CWE-346 | 源验证错误 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论