Мне хотелось бы поблагодарить Сергея Зыбнева(aka @poxek_chat) за то, что собрал это воедино, поблагодарить Владимира Капистку за создание такого инструмента как Public OCI-Image Security Checker
, а также попросить добавить в этот инструмент проверку на данный тип уязвимостей.
Ввиду того, что в контейнер нужно провалится | попасть, риск эксплуатации даже с учетом CVSSv3 от 8-10, в нормальной, изолированной среде со всеми современными патчами и отсутствием мисконфигов и дыр - сводится к нулю. Но если все же “бомбануть” сервис, то в целом выпрыгнуть из контейнера можно с помощью этих уяз.
Docker Security Advisory: Multiple Vulnerabilities in runc, BuildKit, and Moby | Docker
Для начала что это за уязвимости:
The issue will be fixed in BuildKit v0.12.5.
Also, changes to some instructions (most important being HEALTHCHECK and ONBUILD) would not cause a cache miss. An attacker with knowledge of the Dockerfile someone is using could poison their cache by making them pull a specially crafted image that would be considered a valid cache candidate for some build steps. The issue will be fixed in Moby >= v25.0.2 and >= v24.0.9.
Исследование про CVE-2024–21626 - ТЫК