CVE-2024-23651

BuildKit possible race condition with accessing subpaths from cache mounts

CVSS 8.7 HIGHEPSS 0.8%CWE-362

Em resumo

BuildKit pode permitir que arquivos do sistema host sejam acessados por um contêiner de build quando dois passos de build maliciosos executam em paralelo compartilhando o mesmo cache com subpaths, devido a uma race condition. Isso é sério porque expõe arquivos sensíveis do host a contêineres não confiáveis.

Detalhe técnico

Existe uma race condition no tratamento de cache mounts do BuildKit quando múltiplos passos de build executam concorrentemente com subpaths sobrepostos em cache compartilhado. Um atacante controlando dois passos em paralelo pode explorar falhas de timing no acesso ao cache para ler arquivos arbitrários do filesystem do host que deveriam estar isolados. A vulnerabilidade requer configuração de cache compartilhado com subpaths e execução paralela; foi corrigida na v0.12.5.

Resumo gerado e traduzido por IA a partir da descrição oficial.

BuildKit is a toolkit for converting source code to build artifacts in an efficient, expressive and repeatable manner. Two malicious build steps running in parallel sharing the same cache mounts with subpaths could cause a race condition that can lead to files from the host system being accessible to the build container. The issue has been fixed in v0.12.5. Workarounds include, avoiding using BuildKit frontend from an untrusted source or building an untrusted Dockerfile containing cache mounts with --mount=type=cache,source=... options.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N

Produtos afetados

moby · buildkit

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/moby/buildkit/pull/4604 https://github.com/moby/buildkit/releases/tag/v0.12.5 https://github.com/moby/buildkit/security/advisories/GHSA-m3r6-h7wv-7xxv