Docker Engine 26.0.0 < 26.0.2 意外资源泄露

medium Nessus 插件 ID 193911

简介

远程主机上安装的应用程序受到意外资源泄露漏洞的影响。

描述

远程主机上安装的 Docker Engine 版本为低于 26.0.2 的 26.0.x。因而受到意外资源泄露漏洞的影响。开源容器框架 Moby 是 Docker Engine、Docker Desktop 以及容器工具或运行时的其他发行版本的关键组件,在受影响的版本中,IPv6 在网络接口上未被禁用,包括状态为“--ipv6=false”的网络的接口。使用“ipvlan”或“macvlan”接口的容器通常会被配置为与主机共享外部网络链接。
由于可以直接访问,(1) 容器可通过链接本地 IPv6 地址与本地网络上的其他主机通信,(2) 若在本地网络上广播路由器公告,容器可能会获取 SLAAC 分配的地址,以及 (3) 接口将成为 IPv6 多播群组的成员。这意味着仅支持 IPv4 的网络接口会导致攻击面出现意外且不必要的增加。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级至 Docker Engine 26.0.2 或更高版本

另见

https://github.com/advisories/GHSA-x84c-p2g9-rqv9

http://www.nessus.org/u?83df6335

插件详情

严重性: Medium

ID: 193911

文件名: docker_cve-2024-32473.nasl

版本: 1.3

类型: local

系列: Misc.

发布时间: 2024/4/26

最近更新时间: 2024/8/2

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 4

时间分数: 3

矢量: CVSS2#AV:L/AC:H/Au:N/C:C/I:N/A:N

CVSS 分数来源: CVE-2024-32473

CVSS v3

风险因素: Medium

基本分数: 4.7

时间分数: 4.1

矢量: CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:docker:docker

必需的 KB 项: installed_sw/Docker

易利用性: No known exploits are available

补丁发布日期: 2024/4/18

漏洞发布日期: 2024/4/18

参考资料信息

CVE: CVE-2024-32473

IAVA: 2024-A-0254-S