BDU:2022-05641
ООО «РусБИТех-Астра», Moby Project Moby, Astra Linux Special Edition
2022-09-09
Уязвимость программного средства для создания систем контейнерной изоляции Moby (Docker Engine) связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - не использовать инструкции Dockerfile.
Использование рекомендаций: https://github.com/moby/moby/security/advisories/GHSA-rc4r-wh2q-q6c4 https://github.com/moby/moby/releases/tag/v20.10.18 https://github.com/moby/moby/commit/de7af816e76a7fd3fbf06bffa6832959289fba32
Для ОС Astra Linux Special Edition 1.7: обновить пакет docker.io до 24.0.2+astra14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux Special Edition 4.7: обновить пакет docker.io до 24.0.2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47