CVE-2024-23650

BuildKit possible panic when incorrect parameters sent from frontend

CVSS 5.3 MEDIUMEPSS 1.0%CWE-754

Em resumo

Um cliente BuildKit malicioso pode enviar requisições especialmente preparadas que derrubam o daemon BuildKit, causando uma negação de serviço. Esta vulnerabilidade afeta sistemas que usam BuildKit com frontends não confiáveis.

Detalhe técnico

O daemon BuildKit falha com panic devido a tratamento inadequado de erros (CWE-754) ao receber parâmetros malformados de um cliente frontend. Um atacante com acesso à API do BuildKit pode disparar uma condição de panic não tratada, resultando em negação de serviço. Requer acesso de rede ou local ao daemon BuildKit.

Resumo gerado e traduzido por IA a partir da descrição oficial.

BuildKit is a toolkit for converting source code to build artifacts in an efficient, expressive and repeatable manner. A malicious BuildKit client or frontend could craft a request that could lead to BuildKit daemon crashing with a panic. The issue has been fixed in v0.12.5. As a workaround, avoid using BuildKit frontends from untrusted sources.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Produtos afetados

moby · buildkit

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/moby/buildkit/pull/4601 https://github.com/moby/buildkit/releases/tag/v0.12.5 https://github.com/moby/buildkit/security/advisories/GHSA-9p26-698r-w4hx