Informazioni sul CVE-2023-26054
Credentials inlined to Git URLs could end up in provenance attestation in BuildKit
CWE ID: CWE-200
Base Score (CVSS): N/A
CVE: CVE-2023-26054
Descrizione: CostruisciKit è uno strumento per convertire il codice sorgente in artefatti di costruzione efficienti, espressivi e ripetibili. In versioni influenzate quando l’utente invia una richiesta di build che contiene un URL Git contenente credenziali e la build crea un’attestazione di provenienza descrivendo quel build, le credenziali potrebbero essere visibili dall’attestazione di provenienza. L’URL Git può essere passato in due modi: 1) invocare la build direttamente da una URL con credenziali. 2) se il client invia ulteriori informazioni sul sistema di controllo versione (VCS) tramite parametri di build da una sorgente locale, ciò potrebbe significare leggere l’URL di origine dal file `.git/config`. Quando viene eseguita una build in condizioni specifiche in cui le credenziali sono state passate a BuildKit, potrebbero essere visibili a tutti gli utenti che hanno accesso all’attestazione di provenienza. L’attestazione di provenienza e i parametri di hint VCS sono stati aggiunti nella versione v0.11.0. Versioni precedenti non sono vulnerabili. Nella versione v0.10, quando si costruisce direttamente da un URL Git, l’URL stesso potrebbe essere visibile nella struttura `BuildInfo` che è un predecessore dell’attestazione di provenienza. Versioni precedenti non sono vulnerabili. Questo bug è stato corretto in v0.11.4. Gli utenti sono incoraggiati ad aggiornare. Gli utenti che non possono aggiornare potrebbero disabilitare i parametri di hint VCS impostando `BUILDX_GIT_INFO=0`. Buildctl non imposta i suggerimenti VCS basandosi sul file `.git/` directory, e i valori devono essere passati manualmente con `–opt`.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: Required, Confidenzialità: High, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/moby/buildkit/security/advisories/GHSA-gc89-7gcr-jxqc
- https://github.com/moby/buildkit/commit/75123c696506bdbca1ed69906479e200f1b62604
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZTE4ITXXPIWZEQ4HYQCB6N6GZIMWXDAI/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LYZOKMMVX4SIEHPJW3SJUQGMO5YZCPHC/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XNF4OLYZRQE75EB5TW5N42FSXHBXGWFE/
Prodotti interessati
- moby – buildkit
Relazioni con altri prodotti
Produttore:moby
Prodotto: buildkit
Anno: 2023
CWE: CWE-200
CVSS: 0.0