Docker 20.10.20 现已发布。此版本的 Docker Engine 包含针对 Git 漏洞 (CVE-2022-39253) 的部分缓解措施,并更新了对image:tag@digest
image references 的处理。
Git 漏洞允许恶意制作的 Git 存储库在用作构建 context 时将任意文件系统路径复制到生成的 containers/images 中;这可能发生在守护进程和 API 客户端中,具体取决于使用的版本和工具。
此版本和守护程序 API 的其他 consumers 中可用的缓解措施是部分的,仅保护构建 Git URL context(例如git+protocol://
)的用户。由于该漏洞仍然可以通过手动运行与子模块交互和签出的 Git 命令来利用,因此用户应立即升级到修补版本的 Git 以防止此漏洞。更多详细信息可从 Git 安全漏洞宣布 获得。
Client
- 当使用带有 Git URL 作为 build context 的 classic Builder 时,为 CVE-2022-39253 添加了一个缓解措施。
Daemon
- 更新了对
image:tag@digest
references 的处理。当使用image:tag@digest
( "pull by digest") 拉取 image 时,image resolution 是通过内容可寻址摘要进行的,image 和 tag 不被使用。虽然这是意料之中的,但是可能会导致 confusing behavior,并且可能会被社会工程利用来运行已存在于 local image store 中的 image。Docker 现在会检查 digest 是否与用于拉取 image 的存储库名称匹配,否则会产生一个 error。
Builder
- 更新了对
image:tag@digest
references 的处理。有关详细信息,看参阅上面的“Daemon”部分。 - 为 classic Builder 添加了缓解措施,并将 BuildKit 更新为 v0.8.3-31-gc0149372,for CVE-2022-39253。
更新说明:https://github.com/moby/moby/releases/tag/v20.10.20