Azure Linux 3.0 安全更新moby-engine (CVE-2024-29018)

high Nessus 插件 ID 234116

语言：

简介

远程 Azure Linux 主机缺少一个或多个安全更新。

描述

远程 Azure Linux 3.0 主机上安装的 moby-engine 版本低于测试的版本。因此，该程序受到 CVE-2024-29018 公告中提及的一个漏洞影响。

- Moby 是一个开源容器框架，是 Docker Engine、Docker Desktop 以及容器工具或运行时的其他发行版本的关键组件。Moby 的网络实现允许定义多个网络，每个网络都有自己的 IP 地址范围和网关。此功能通常称为自定义网络，因为每个网络都可以具有不同的驱动程序、参数集以及行为。创建网络时，“--internal”标记用于将网络指定为 _internal_。
docker-compose.yml 文件中的“internal”属性也可用于标记网络_internal_其他 API 客户端也可能指定“internal”参数。创建具有网络的容器时，系统会为其分配唯一的网络接口和 IP 地址。主机充当非内部网络的路由器，其网关 IP 提供与容器 IP 之间的 SNAT/DNAT。内部网络上的容器可以相互通信，但无法与主机有权访问的任何网络（LAN 或 WAN）通信，因为未配置默认路由，并且防火墙规则设置为丢弃所有传出流量。可与网关 IP 地址以及已正确配置的主机服务通信并且主机可直接与任何容器 IP 通信。除了配置 Linux 内核的多种网络功能以启用容器网络之外，“dockerd”还直接向容器网络提供某些服务。其中主要提供的服务为解析器，从而启用服务发现，并解析来自上游解析器的名称。收到针对名称与容器不符的 DNS 请求时，系统会将该请求转发到已配置的上游解析器。系统将此请求从容器的网络命名空间发出：流量的访问和路由级别与容器本身发出的请求相同。由于此设计，仅附加到内部网络的容器将无法使用上游解析器解析名称，因为容器本身无法与该名称服务器通信。
只能解析同样附加到内部网络的容器的名称。许多系统运行本地转发 DNS 解析器。由于主机和容器具有单独的环回设备，上述设计的后果是容器无法从主机配置的解析器中解析名称，因为它们无法访问主机环回设备上的这些地址。为填补此漏洞，并允许容器正确解析名称（即使环回地址上使用了本地转发解析器），“dockerd”会检测此情况，并改为从主机名称工作命名空间转发 DNS 请求。然后，环回解析器按预期将请求转发到其配置的上游解析器。由于“dockerd”将 DNS 请求转发到主机环回设备从而完全绕过容器网络命名空间的正常路由语义，因此内部网络可能将 DNS 请求意外转发到外部名称服务器。攻击者可注册其控制权威名称服务器的域，方法是在最终将由其名称服务器应答的 DNS 查询中进行编码，从而安排遭入侵的容器泄露数据。Docker Desktop 不受影响，因为 Docker Desktop 始终在 RFC 1918 地址上运行内部解析器。已修补 Moby 版本 26.0.0、25.0.4 和 23.0.11，可防止转发来自内部网络的任何 DNS 请求。相关变通方案是，运行预期仅附加到具有自定义上游地址的内部网络的容器，这将强制从容器的网络命名空间中解析所有上游 DNS 查询。(CVE-2024-29018)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。