Onedev - это Git-сервер с открытым исходным кодом с CI/CD и Kanban. При использовании исполнителей заданий на основе Docker сокет Docker (н…

Onedev - это Git-сервер с открытым исходным кодом с CI/CD и Kanban. При использовании исполнителей заданий на основе Docker сокет Docker (например, /var/run/docker.sock в Linux) монтируется на каждом шаге Docker. Пользователи, которые могут определять и запускать задания CI/CD в проекте, могут использовать это для управления демоном Docker на хост-машине. Это известный опасный шаблон, поскольку его можно использовать для выхода из контейнеров Docker и, в большинстве случаев, получения прав root в хост-системе. Эта проблема позволяет обычным (не администраторам) пользователям потенциально захватить инфраструктуру сборки экземпляра OneDev. Злоумышленникам необходимо иметь учетную запись (или иметь возможность зарегистрировать ее) и иметь разрешение на создание проекта. Поскольку code.onedev.io имеет правильные предварительные условия для использования удаленными злоумышленниками, его можно было использовать для перехвата сборок самого OneDev, например, путем внедрения вредоносного ПО в образы Docker, которые создаются и отправляются в Docker Hub. Влияние увеличивается из-за этого, как описано ранее. Пользователям рекомендуется обновиться до версии 7.3.0 или выше. Известных обходных путей для этой проблемы нет.