Docker Engine 26.0.0 < 26.0.2 意外资源泄露
medium Nessus 插件 ID 193911
语言:
简介
远程主机上安装的应用程序受到意外资源泄露漏洞的影响。描述
远程主机上安装的 Docker Engine 版本为低于 26.0.2 的 26.0.x。因而受到意外资源泄露漏洞的影响。开源容器框架 Moby 是 Docker Engine、Docker Desktop 以及容器工具或运行时的其他发行版本的关键组件,在受影响的版本中,IPv6 在网络接口上未被禁用,包括状态为“--ipv6=false”的网络的接口。使用“ipvlan”或“macvlan”接口的容器通常会被配置为与主机共享外部网络链接。由于可以直接访问,(1) 容器可通过链接本地 IPv6 地址与本地网络上的其他主机通信,(2) 若在本地网络上广播路由器公告,容器可能会获取 SLAAC 分配的地址,以及 (3) 接口将成为 IPv6 多播群组的成员。这意味着仅支持 IPv4 的网络接口会导致攻击面出现意外且不必要的增加。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级至 Docker Engine 26.0.2 或更高版本另见
插件详情
严重性: Medium
ID: 193911
文件名: docker_cve-2024-32473.nasl
版本: 1.2
类型: local
系列: Misc.
发布时间: 2024/4/26
最近更新时间: 2024/4/29
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Medium
基本分数: 4
时间分数: 3
矢量: CVSS2#AV:L/AC:H/Au:N/C:C/I:N/A:N
CVSS 分数来源: CVE-2024-32473
CVSS v3
风险因素: Medium
基本分数: 4.7
时间分数: 4.1
矢量: CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:docker:docker
必需的 KB 项: installed_sw/Docker
易利用性: No known exploits are available
补丁发布日期: 2024/4/18
漏洞发布日期: 2024/4/18
参考资料信息
CVE: CVE-2024-32473
IAVA: 2024-A-0254