Docker upozorava na kritičnu grešku koja utiče na određene verzije Docker Engine-a i koja bi mogla omogućiti napadaču da zaobiđe dodatke za autorizaciju (AuthZ) pod određenim okolnostima.
Praćena kao CVE-2024-41110 , ranjivost zaobilaženja i eskalacije privilegija nosi CVSS ocjenu 10,0, što ukazuje na maksimalnu ozbiljnost.
“Napadač bi mogao iskoristiti zaobilaznicu koristeći API zahtjev sa Content-Length postavljenim na 0, uzrokujući da Docker demon prosljeđuje zahtjev bez tijela AuthZ dodatku, što bi moglo pogrešno odobriti zahtjev”, rekli su održavatelji Moby projekta u savjetodavni.
Docker je rekao da je problem regresija u tome što je problem prvobitno otkriven 2018. godine i riješen u Docker Engineu v18.09.1 u januaru 2019., ali nikada nije prenet na sljedeće verzije (19.03 i kasnije).
Problem je rešen u verzijama 23.0.14 i 27.1.0 od 23. jula 2024. godine, nakon što je problem identifikovan u aprilu 2024. Sljedeće verzije Docker Engine-a su pogođene pod pretpostavkom da se AuthZ koristi za donošenje odluka o kontroli pristupa –
- <= v19.03.15
- <= v20.10.27
- <= v23.0.14
- <= v24.0.9
- <= v25.0.5
- <= v26.0.2
- <= v26.1.4
- <= v27.0.3, i
- <= v27.1.0
“Korisnici Docker Engine-a v19.03.x i novijih verzija koji se ne oslanjaju na dodatke za autorizaciju za donošenje odluka o kontroli pristupa i korisnici svih verzija Mirantis Container Runtime-a nisu ranjivi”, rekla je Gabriela Georgieva iz Dockera .
“Korisnici Docker komercijalnih proizvoda i interne infrastrukture koji se ne oslanjaju na AuthZ dodatke nisu pogođeni.”
Takođe utiče na Docker Desktop do verzije 4.32.0, iako je kompanija rekla da je verovatnoća eksploatacije ograničena i da zahteva pristup Docker API-ju, zbog čega napadač već ima lokalni pristup hostu. Očekuje se da će popravka biti uključena u nadolazeće izdanje (verzija 4.33).
„Podrazumjevana Docker Desktop konfiguracija ne uključuje AuthZ dodatke“, napomenula je Georgieva. “Eskalacija privilegija je ograničena na Docker Desktop [virtuelnu mašinu], a ne na osnovni host.”
Iako Docker ne pominje da se CVE-2024-41110 eksploatiše u divljini, bitno je da korisnici svoje instalacije primjene na najnoviju verziju kako bi ublažili potencijalne prijetnje.
Ranije ove godine, Docker je krenuo da zakrpi set nedostataka nazvanih Leaky Vessels koji bi mogli omogućiti napadaču da dobije neovlašteni pristup sistemu datoteka hosta i izbije iz kontejnera.
“Kako raste popularnost usluga u cloud-u, raste i upotreba kontejnera, koji su postali integralni dio infrastrukture oblaka”, navodi se u izvještaju koji je objavljen prošle sedmice iz Palo Alto Networks Unit 42. “Iako kontejneri pružaju mnoge prednosti, oni su također podložni tehnikama napada kao što je bijeg iz kontejnera.”
“Dijeleći isti kernel i često im nedostaje potpuna izolacija od korisničkog načina rada domaćina, kontejneri su podložni raznim tehnikama koje koriste napadači koji žele pobjeći iz okvira okruženja kontejnera.”
Izvor:The Hacker News
