Azure Linux 3.0 安全性更新moby-engine (CVE-2024-29018)

high Nessus Plugin ID 234116

語言:

概要

遠端 Azure Linux 主機缺少一個或多個安全性更新。

說明

遠端 Azure Linux 3.0 主機上安裝的 moby-engine 版本比測試版本舊。因此，此版本會受到 CVE-2024-29018 公告中提及的一個弱點影響。

- Moby 是一種開放原始碼容器架構是 Docker Engine、Docker Desktop 和其他容器工具或 runtime 發行版本的重要元件。Moby 的網路實作允許定義許多網路，每個網路可設定各自的 IP 位址範圍和閘道。此功能常稱為自訂網路，因為每個網路可有不同的驅動程式、參數集及行為。建立網路時，「--internal」標記用於將網路指定為 _internal_。
docker-compose.yml 檔案中的 `internal` 屬性也可用來將網路標記為 _internal_且其他 API 用戶端也可指定 `internal` 參數。建立具有網路功能的容器時，系統會指派唯一的網路介面和 IP 位址。主機作為非內部網路的路由器，其閘道 IP 可提供往來容器 IP 的 SNAT/DNAT。內部網路上的容器彼此之間可以通訊但無法與主機可存取的任何網路 (LAN 或 WAN) 通訊因為未設定預設路由且防火牆規則設定為中斷所有傳出流量。可與閘道 IP 位址 (及適當設定的主機服務) 通訊且主機可直接與任何容器 IP 通訊。「dockerd」除了設定 Linux 核心的多種網路功能以啟用容器網路之外，還直接提供某些服務給容器網路。它主要是發揮解析器的功用，可啟用服務探索，以及透過上游解析器解析名稱。收到名稱與容器不相符的 DNS 要求時，系統會將要求轉送至已設定的上游解析器。此要求從容器的網路命名空間發出：存取層級和流量轉送都和直接從容器發出要求一樣。由於採用此設計，僅附加到內部網路的容器將無法透過上游解析器解析名稱，這是因為容器本身無法與該名稱伺服器通訊。
只能解析也附加至內部網路的容器名稱。許多系統執行本機轉送 DNS 解析器。由於主機和所有容器都有獨立的回送裝置，上述設計會導致容器無法透過主機所設定的解析器解析名稱，這是因為它們無法到達主機回送裝置上的這些位址。為了解決此問題，並讓容器即便在將本機轉送解析器用於回送位址時也能妥善解析名稱，「dockerd」會偵測此情境，並改為從主機 namework 命名空間轉送 DNS 要求。然後，回送解析器會如預期將要求轉送至已設定的上游解析器。由於 `dockerd` 會將 DNS 要求轉送至主機回送裝置，完全忽略容器網路命名空間的正常轉送語意，因此內部網路可能會意外將 DNS 要求轉送至外部名稱伺服器。攻擊者可為所掌控的名稱伺服器註冊網域，藉此利用受到入侵的容器在 DNS 查詢中將資料進行編碼，最終透過名稱伺服器取得解碼的資料。Docker Desktop 一律會在 RFC 1918 位址上執行內部解析器，因此不會受到影響。Moby 26.0.0、25.0.4 和 23.0.11 版已經過修補，可避免從內部網路轉送 DNS 要求。您可以改為使用自訂上游位址執行預定單獨附加至內部網路的容器，這會強制從容器的網路命名空間解析所有上游 DNS 查詢 (CVE-2024-29018)。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。