Docker poinformował o poważnej luce w niektórych wersjach Docker Engine, która umożliwia obejście wtyczek autoryzacyjnych (AuthZ) w pewnych sytuacjach.
Błąd, oznaczony jako CVE-2024-41110, ma najwyższy poziom zagrożenia według skali CVSS, czyli 10.0.
“Atakujący może wykorzystać ten błąd, wysyłając żądanie API z Content-Length równym 0. To powoduje, że demon Docker przesyła to żądanie do wtyczki AuthZ bez jego treści, co może prowadzić do błędnej autoryzacji,” poinformowali opiekunowie projektu Moby.
Problem został pierwotnie wykryty w 2018 roku i naprawiony w wersji Docker Engine v18.09.1 w styczniu 2019, ale późniejsze wersje (19.03 i nowsze) nie zawierały tej poprawki.
Rozwiązanie tego problemu pojawiło się w wersjach 23.0.14 i 27.1.0, wydanych 23 lipca 2024 roku. Problem dotyczy wersji Docker Engine, które korzystają z AuthZ do kontroli dostępu:
- <= v19.03.15
- <= v20.10.27
- <= v23.0.14
- <= v24.0.9
- <= v25.0.5
- <= v26.0.2
- <= v26.1.4
- <= v27.0.3
- <= v27.1.0
“Użytkownicy Docker Engine od wersji 19.03.x wzwyż, którzy nie używają wtyczek autoryzacyjnych, oraz wszyscy użytkownicy Mirantis Container Runtime, są bezpieczni” – powiedziała Gabriela Georgieva z Docker.
“Właściciele komercyjnych produktów Docker i wewnętrznych systemów, którzy nie polegają na AuthZ, nie są zagrożeni.”
Luka dotyczy także Docker Desktop do wersji 4.32.0, chociaż firma ocenia, że ryzyko jej wykorzystania jest niewielkie, ponieważ wymaga dostępu do API Docker, co oznacza, że atakujący musi mieć już lokalny dostęp do hosta. Naprawa ma się pojawić w nadchodzącej wersji 4.33.
“Domyślnie Docker Desktop nie używa wtyczek AuthZ” – dodała Georgieva. “Podniesienie uprawnień ogranicza się do maszyny wirtualnej Docker Desktop, nie dotyczy hosta.”
Chociaż nie ma informacji o aktywnym wykorzystywaniu tej luki CVE-2024-41110, ważne jest, aby użytkownicy zaktualizowali swoje oprogramowanie, aby uniknąć zagrożeń.
Wcześniej tego roku Docker naprawił zestaw luk nazwanych Leaky Vessels, które mogły pozwolić na nieautoryzowany dostęp do systemu plików hosta i ucieczkę z kontenera.
“Wraz ze wzrostem popularności usług chmurowych, kontenery stały się kluczowym elementem infrastruktury chmurowej,” stwierdził zespół Palo Alto Networks Unit 42 w raporcie. “Mimo korzyści, jakie oferują kontenery, są one podatne na techniki ataków, takie jak ucieczki z kontenerów.”
“Dzieląc to samo jądro i często brakując pełnej izolacji od trybu użytkownika hosta, kontenery są narażone na różne metody stosowane przez atakujących, którzy próbują uciec z ich środowiska.”
