ГлавнаяБаза уязвимостей БДУ → BDU:2024-05760
9критическая

BDU:2024-05760

Уязвимость плагинов авторизации (AuthZ) программного обеспечения автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации Docker Engine, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2024-07-25
Описание

Уязвимость плагинов авторизации (AuthZ) программного обеспечения автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации Docker Engine связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии, путем отправки специально созданного запроса API с Content-Length, равным 0

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Docker (до 18.09.1)Docker (от 19.03 до 19.03.15 включительно)Docker (от 20.10 до 20.10.27 включительно)Docker (от 23.0 до 23.0.14)Docker (от 24.0.0 до 24.0.9 включительно)Docker (от 25.0.5 до 25.0.5 включительно)Docker (от 26.0.0 до 26.0.2 включительно)Docker (от 27.0.0 до 27.0.3 включительно)Docker (до 27.1.1)Docker (от 26.1.4 до 26.1.4 включительно)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение использования плагинов авторизации AuthZ;
- организация доступа к Docker API только доверенным пользователям;
- минимизация пользовательских привилегий.

Использование рекомендаций производителя:
https://github.com/moby/moby/commit/411e817ddf710ff8e08fa193da80cb78af708191
https://github.com/moby/moby/commit/42f40b1d6dd7562342f832b9cd2adf9e668eeb76
https://github.com/moby/moby/commit/65cc597cea28cdc25bea3b8a86384b4251872919
https://github.com/moby/moby/commit/852759a7df454cbf88db4e954c919becd48faa9b
https://github.com/moby/moby/commit/a31260625655cff9ae226b51757915e275e304b0
https://github.com/moby/moby/commit/a79fabbfe84117696a19671f4aa88b82d0f64fc1
https://github.com/moby/moby/commit/ae160b4edddb72ef4bd71f66b975a1a1cc434f00
https://github.com/moby/moby/commit/ae2b3666c517c96cbc2adf1af5591a6b00d4ec0f
https://github.com/moby/moby/commit/cc13f952511154a2866bddbb7dddebfe9e83b801
https://github.com/moby/moby/commit/fc274cd2ff4cf3b48c91697fb327dd1fb95588fb
https://github.com/moby/moby/security/advisories/GHSA-v23v-6jw2-98fq

Для Astra Linux Special Edition 1.7:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47



Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения docker.io до версии 26.1.5+dfsg1-9

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://www.docker.com/blog/docker-security-advisory-docker-engine-authz-plugin/https://github.com/moby/moby/commit/411e817ddf710ff8e08fa193da80cb78af708191https://github.com/moby/moby/commit/42f40b1d6dd7562342f832b9cd2adf9e668eeb76https://github.com/moby/moby/commit/65cc597cea28cdc25bea3b8a86384b4251872919https://github.com/moby/moby/commit/852759a7df454cbf88db4e954c919becd48faa9bhttps://github.com/moby/moby/commit/a31260625655cff9ae226b51757915e275e304b0https://github.com/moby/moby/commit/a79fabbfe84117696a19671f4aa88b82d0f64fc1https://github.com/moby/moby/commit/ae160b4edddb72ef4bd71f66b975a1a1cc434f00
Проверьте безопасность своего сайта и почты → Полная проверка домена