✏️ Эпилог

Мне хотелось бы поблагодарить Сергея Зыбнева(aka @poxek_chat) за то, что собрал это воедино, поблагодарить Владимира Капистку за создание такого инструмента как Public OCI-Image Security Checker, а также попросить добавить в этот инструмент проверку на данный тип уязвимостей.

⚠️ Итоговый риск для организации: Средний

Ввиду того, что в контейнер нужно провалится | попасть, риск эксплуатации даже с учетом CVSSv3 от 8-10, в нормальной, изолированной среде со всеми современными патчами и отсутствием мисконфигов и дыр - сводится к нулю. Но если все же “бомбануть” сервис, то в целом выпрыгнуть из контейнера можно с помощью этих уяз.

✨ Container security или почему нужно следить не только за уязвимостями в коде

Docker Security Advisory: Multiple Vulnerabilities in runc, BuildKit, and Moby | Docker

Для начала что это за уязвимости:

🔴 CVE-2024–21626 (CVSSv3: 8.6) - Проблема в runC, связанная с process.cwd и утечкой дескрипторов файлов.

🔴 CVE-2024–23651 (CVSSv3: 8.7) - Состояние гонки во время сборки, приводящее к выходу контейнера из строя в BuildKit.

🔴 CVE-2024–23652 (CVSSv3: 10.0) - Произвольное удаление при разрушении контейнера во время сборки BuildKit.

🔴 CVE-2024–23653 (CVSSv3: 9.8) - Проблема проверки привилегий GRPC SecurityMode в BuildKit, приводящая к выходу контейнера из строя во время сборки.

🟡 CVE-2024-23650 (Medium) - In BuildKit <= v0.12.4, a malicious BuildKit client or frontend could craft a request that could lead to BuildKit daemon crashing with a panic.

The issue will be fixed in BuildKit v0.12.5.

🟡 CVE-2024-24557 (Medium) - In Moby <= v25.0.1 and <= v24.0.8, the classic builder cache system is prone to cache poisoning if the image is built FROM scratch.

Also, changes to some instructions (most important being HEALTHCHECK and ONBUILD) would not cause a cache miss. An attacker with knowledge of the Dockerfile someone is using could poison their cache by making them pull a specially crafted image that would be considered a valid cache candidate for some build steps. The issue will be fixed in Moby >= v25.0.2 and >= v24.0.9.


🔴 CVE-2024–21626

Исследование про CVE-2024–21626 - ТЫК