PT-2024-1509 · Docker+3 · Moby+4
Rumpl
+1
·
Publicado
2024-02-01
·
Atualizado
2026-05-18
·
CVE-2024-24557
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Moby anteriores à 23.0
Versões do Moby 23.0 e posteriores com a variável de ambiente DOCKER BUILDKIT=0
Versões do Moby 23.0 e posteriores que utilizam o endpoint da API /build
Descrição
O sistema clássico de cache do construtor no Moby está sujeito a envenenamento de cache se a imagem for construída DO ZERO. Alterações em algumas instruções, como
HEALTHCHECK e ONBUILD, não causariam uma falha de cache. Um invasor com conhecimento do Dockerfile poderia envenenar o cache fazendo com que ele baixasse uma imagem especialmente criada que seria considerada uma candidata válida para o cache em algumas etapas de construção. O endpoint da API de construção de imagem (/build) e a função ImageBuild de github.com/docker/docker/client também são afetados, pois usam o construtor clássico por padrão.Recomendações
Para versões anteriores à 23.0, atualize para uma versão que inclua o patch, como a 24.0.9 ou a 25.0.2.
Para versões 23.0 e posteriores com a variável de ambiente DOCKER BUILDKIT=0, defina DOCKER BUILDKIT=1 para usar o Buildkit ou atualize para uma versão que inclua o patch.
Para versões 23.0 e posteriores que usam o endpoint da API /build, considere usar a opção
--no-cache ou atualizar para uma versão que inclua o patch.Como solução alternativa temporária, considere usar
--no-cache ou definir NoCache = true em ImageBuildOptions para a chamada ImageBuild.Use
Version = types.BuilderBuildKit em ImageBuildOptions para a chamada ImageBuild para usar o Buildkit.Exploit
Correção
Insufficient Verification of Data Authenticity
Origin Validation Error
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Astra Linux
Debian
Docker
Moby
Red Os