ГлавнаяБаза уязвимостей БДУ → BDU:2024-11295
6.8средняя

BDU:2024-11295 (CVE-2024-36620)

Уязвимость программного средства для создания систем контейнерной изоляции Moby, связанная с разыменованием нулевого указателя, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-12-19
Описание

Уязвимость программного средства для создания систем контейнерной изоляции Moby связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Red Hat OpenShift Container Platform (4)multicluster engine for KubernetesAstra Linux Special Edition (1.8)Moby (от 25.0.0 до 26.0.2 включительно)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для Moby:
https://gist.github.com/1047524396/f08816669701ab478a265a811d2c89b2

Для РЭД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-docker-ce-cve-2024-36620/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-36620

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-36620

Для ОС Astra Linux:
обновить пакет docker.io-app до 28.3.3.astra1+ci17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17

Для ОС Astra Linux:
обновить пакет docker.io-app до 28.3.3.astra1+ci17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1216SE47

Для ОС Astra Linux:
обновить пакет docker.io-app до 28.3.3.astra1+ci20 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-docker-ce-cve-2024-36620/https://access.redhat.com/security/cve/cve-2024-36620https://security-tracker.debian.org/tracker/CVE-2024-36620https://gist.github.com/1047524396/f08816669701ab478a265a811d2c89b2https://github.com/moby/moby/blob/v26.0.2/daemon/images/image_history.go#L48https://github.com/moby/moby/commit/ab570ab3d62038b3d26f96a9bb585d0b6095b9b4https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1216SE75
Проверьте безопасность своего сайта и почты → Полная проверка домена