CVE-2023-26054
Credentials inlined to Git URLs could end up in provenance attestation in BuildKit
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
1Exploited in Wild
-Decision
Descriptions
BuildKit is a toolkit for converting source code to build artifacts in an efficient, expressive and repeatable manner. In affected versions when the user sends a build request that contains a Git URL that contains credentials and the build creates a provenance attestation describing that build, these credentials could be visible from the provenance attestation. Git URL can be passed in two ways: 1) Invoking build directly from a URL with credentials. 2) If the client sends additional version control system (VCS) info hint parameters on builds from a local source. Usually, that would mean reading the origin URL from `.git/config` file. When a build is performed under specific conditions where credentials were passed to BuildKit they may be visible to everyone who has access to provenance attestation. Provenance attestations and VCS info hints were added in version v0.11.0. Previous versions are not vulnerable. In v0.10, when building directly from Git URL, the same URL could be visible in `BuildInfo` structure that is a predecessor of Provenance attestations. Previous versions are not vulnerable. This bug has been fixed in v0.11.4. Users are advised to upgrade. Users unable to upgrade may disable VCS info hints by setting `BUILDX_GIT_INFO=0`. `buildctl` does not set VCS hints based on `.git` directory, and values would need to be passed manually with `--opt`.
BuildKit es un conjunto de herramientas para convertir código fuente para crear artefactos de manera eficiente, expresiva y repetible. En las versiones afectadas, cuando el usuario envía una solicitud de compilación que contiene una URL de Git que contiene credenciales y la compilación crea una atestación de procedencia que describe esa compilación, estas credenciales podrían ser visibles desde la atestación de procedencia. La URL de Git se puede pasar de dos maneras: 1) Invocando la compilación directamente desde una URL con credenciales. 2) Si el cliente envía parámetros de sugerencias de información del sistema de control de versiones (VCS) adicionales en compilaciones desde una fuente local. Por lo general, eso significaría leer la URL de origen del archivo `.git/config`. Cuando se realiza una compilación en condiciones específicas en las que se pasaron credenciales a BuildKit, es posible que sean visibles para todos los que tengan acceso a la certificación de procedencia. En la versión v0.11.0 se agregaron certificaciones de procedencia y sugerencias de información de VCS. Las versiones anteriores no son vulnerables. En la versión 0.10, al compilar directamente desde la URL de Git, la misma URL podría ser visible en la estructura `BuildInfo` que es una predecesora de las certificaciones de procedencia. Las versiones anteriores no son vulnerables. Este error se ha solucionado en v0.11.4. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden desactivar las sugerencias de información de VCS configurando `BUILDX_GIT_INFO=0`. `buildctl` no establece sugerencias de VCS basadas en el directorio `.git` y los valores deberían pasarse manualmente con `--opt`.
A flaw was found in the moby buildkit. When a build is performed under specific conditions where credentials were passed to BuildKit, it may be visible to everyone with access to provenance attestation.
CVSS Scores
SSVC
- Decision:-
Timeline
- 2023-02-17 CVE Reserved
- 2023-03-06 CVE Published
- 2024-08-02 CVE Updated
- 2024-08-02 First Exploit
- 2024-09-26 EPSS Updated
- ---------- Exploited in Wild
- ---------- KEV Due Date
CWE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor
CAPEC
References (7)
URL | Date | SRC |
---|---|---|
https://github.com/moby/buildkit/security/advisories/GHSA-gc89-7gcr-jxqc | 2024-08-02 |
URL | Date | SRC |
---|---|---|
https://github.com/moby/buildkit/commit/75123c696506bdbca1ed69906479e200f1b62604 | 2023-09-15 |
URL | Date | SRC |
---|---|---|
https://access.redhat.com/security/cve/CVE-2023-26054 | 2023-10-19 | |
https://bugzilla.redhat.com/show_bug.cgi?id=2176447 | 2023-10-19 |
Affected Vendors, Products, and Versions
Vendor | Product | Version | Other | Status | ||||||
---|---|---|---|---|---|---|---|---|---|---|
Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
Mobyproject Search vendor "Mobyproject" | Buildkit Search vendor "Mobyproject" for product "Buildkit" | >= 0.10.0 < 0.11.4 Search vendor "Mobyproject" for product "Buildkit" and version " >= 0.10.0 < 0.11.4" | - |
Affected
|