検出

Azure Linux 3.0 セキュリティ更新moby-engineCVE-2024-29018

high Nessus プラグイン ID 234116

Language:

概要

リモートの Azure Linux ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモート Azure Linux 3.0 ホストにインストールされている moby-engine のバージョンは、 より前です。したがって、CVE-2024-29018 のアドバイザリに記載されている脆弱性の影響を受けます。

 - Moby は、Docker Engine、Docker Desktop、およびその他のコンテナツールやランタイムのディストリビューションの主要コンポーネントであるオープンソースのコンテナフレームワークです。Moby のネットワーク実装では、それぞれ独自の IP アドレス範囲とゲートウェイを持つ多数のネットワークを定義できます。この機能は、各ネットワークが異なるドライバー、パラメーターセット、および動作を持つことができるため、カスタムネットワークと呼ばれることがよくあります。ネットワークを作成するとき、ネットワークを _internal_ として指定するために「--internal」フラグが使用されます。
 docker-compose.yml ファイルの「internal」属性は、ネットワーク _internal_ をマークするために使用される可能性があり、他の API クライアントは「internal」パラメーターも指定することができます。ネットワークを持つコンテナが作成されると、一意のネットワークインターフェースと IP アドレスが割り当てられます。ホストは、コンテナ IP との間の SNAT/DNAT を提供するゲートウェイ IP とともに、非内部ネットワークのルーターとして機能します。内部ネットワーク上のコンテナは、相互に通信する可能性がありますが、デフォルトルートは構成されておらず、ファイヤーウォールルールがすべての送信トラフィックを破棄するよう設定されているため、ホストがアクセス可能なネットワークLAN または WANとは通信できません。ゲートウェイ IP アドレス (およびこれにより適切に構成されたホストサービス) との通信が可能であり、ホストが任意のコンテナ IP と直接通信する可能性があります。「dockerd」は、Linux カーネルのさまざまなネットワーク機能を設定してコンテナネットワークを有効にすることに加えて、一部のサービスをコンテナネットワークに直接提供します。これらのうちの主要なものは、リゾルバーとして機能し、サービス検出を可能にし、上流のリゾルバーからの名前の解決を可能にすることです。コンテナに対応しない名前の DNS リクエストを受信すると、そのリクエストは設定済みの Upstream リゾルバーに転送されます。このリクエストは、コンテナのネットワーク名前空間から行われます。トラフィックのアクセスとルーティングのレベルは、リクエストがコンテナ自体によって行われた場合と同じです。この設計の結果として、内部ネットワークにのみ接続されているコンテナは、コンテナ自体がそのネームサーバーと通信できないため、上流リゾルバーを使用して名前を解決できません。
 解決できるのは、内部ネットワークにもアタッチされているコンテナの名前のみです。多くのシステムは、ローカルの転送 DNS リゾルバーを実行します。ホストとコンテナには別々のループバックデバイスがあるため、上記の設計の結果、コンテナはホストの構成されたリゾルバーからの名前を解決できなくなり、ホストループバックデバイスでこれらのアドレスに到達できないためです。このギャップを埋め、ローカルのフォワーディングリゾルバーがループバックアドレスで使用されている場合でもコンテナが適切に名前を解決できるようにするために、「dockerd」はこのシナリオを検出し、代わりにホストネームワークの名前空間から DNS リクエストを転送します。その後、ループバックリゾルバーは、期待通りに、設定されたアップストリームリゾルバーにリクエストを転送します。「dockerd」は DNS リクエストをホストループバックデバイスに転送し、コンテナネットワークの名前空間の通常のルーティングセマンティクスを完全にバイパスするため、内部ネットワークが予期せずに DNS リクエストを外部ネームサーバーに転送する可能性があります。権限のあるネームサーバーをコントロールするドメインを登録することで、攻撃者は、侵害されたコンテナにデータを抽出させ、最終的にネームサーバーが応答するようにする DNS クエリでデータをエンコードする可能性があります。Docker Desktop は常に RFC 1918 アドレスで内部リゾルバーを実行するため、Docker Desktop は影響を受けません。Moby リリース 26.0.0、25.0.4、および 23.0.11 には、内部ネットワークからの DNS リクエストの転送を防ぐためのパッチが適用されています。回避策として、カスタムの Upstream アドレスを使用して内部ネットワークにのみアタッチするコンテナを実行してください。これにより、すべての Upstream DNS クエリがコンテナのネットワーク名前空間から解決されます。(CVE-2024-29018)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://nvd.nist.gov/vuln/detail/CVE-2024-29018

プラグインの詳細

深刻度: High

ID: 234116

ファイル名: azure_linux_CVE-2024-29018.nasl

バージョン: 1.1

タイプ: local

公開日: 2025/4/10

更新日: 2025/4/10

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS スコアのソース: CVE-2024-29018

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: x-cpe:/o:microsoft:azure_linux, p-cpe:/a:microsoft:azure_linux:moby-engine-debuginfo, p-cpe:/a:microsoft:azure_linux:moby-engine

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/AzureLinux/release, Host/AzureLinux/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/4/8

脆弱性公開日: 2024/3/19

参照情報

CVE: CVE-2024-29018