BuildKit ابزاری قدرتمند و پیشرفته برای ساخت تصاویر Docker با قابلیتهای افزودنی است که امکانات جدیدی را به Docker افزوده و عملکرد آن را بهبود میبخشد اما اخیرأ آسیبپذیریهای متعددی به شرح ذیل برای این ابزار کشف شده است:
1- آسیبپذیری با شناسه CVE-2024-23652 و شدت بحرانی(10) و بردار حمله CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H : این آسیبپذیری منجر به دسترسی غیر مجاز به سیستم میزبان و فایلهای ساخت(build) و تغییر آنها میشود.
2- آسیبپذیری با شناسه CVE-2024-23653 و شدت بحرانی(9.8) و بردار حمله CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H : آسیبپذیری درخواست برای دسترسی غیرمجاز به containers با اهمیت بالا به کمک API .
3- آسیبپذیری با شناسه CVE-2024-23651 و شدت بالا(8.7) و بردار حمله CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N : این آسیبپذیری منجر به دسترسی غیر مجاز به سیستم میزبان و فایلهای ساخت(build) و تغییر آنها میشود.
4- آسیبپذیری با شناسه CVE-2024-23650 و شدت متوسط(5.3) و بردار حمله CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L : مهاجم میتواند درخواستی ایجاد کند که منجر به خرابی کامل ابزار BuildKit در سیستم کاربر شود.
محصولات تحت تأثیر
نسخههای قبل 0.12.5 ابزار BuildKit تحت تأثیر این نقصهای امنیتی قرار خواهند گرفت.
توصیههای امنیتی
به کاربران توصیه میشود ابزار خود را به نسخه 0.12.5 بهروزرسانی کنند.
منبع خبر:
https://nvd.nist.gov/vuln/detail/CVE-2024-23650 ... 2024-23653
- 28