从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Insecure default setting for Server Pro installed via Overleaf toolkit before 2024-07-17 and docker-compose before 2024-08-28 - 发布者:mans0954 - 发布时间:昨天 - 严重性:高 - CVE ID:CVE-2024-45313 2. 受影响的版本: - Docker-Compose:< 2024-08-28 - Toolkit:< 2024-07-17 3. 描述: - 当使用Overleaf Toolkit安装Server Pro(在2024-07-17之前)或使用docker-compose(在2024-08-28之前)时,LaTeX编译的配置是不安全的,需要管理员启用安全功能。 - 如果不启用这些安全功能,用户将能够访问sharelatex容器资源(文件系统、网络、环境变量)在编译期间,导致多个文件访问漏洞,直接或通过在编译期间创建的符号链接。 4. 修复措施: - Overleaf Toolkit已更新,将SIBLING_CONTAINERS_ENABLED设置为true作为默认设置。 - 建议现有安装使用以前的默认设置迁移到使用兄弟容器。 - 可以通过grep命令检查当前设置。 5. 工作原理: - SIBLING_CONTAINERS_ENABLED=false允许用户在编译期间访问所有容器资源。 - SIBLING_CONTAINERS_ENABLED=true在单独的docker容器中运行编译过程,使用seccomp配置文件。 6. 参考链接: - Overleaf Toolkit文档中的Enabling sibling containers - legacy docker-compose/custom deployments中的wiki 这些信息可以帮助用户了解漏洞的性质、受影响的版本、修复措施以及如何检查和配置系统以避免漏洞。