虚拟化和容器服务开发商 Docker 日前发布了安全更新用以修复某些版本的 Docker Engine 存在的高危安全漏洞,攻击者可以在某些情况下利用该漏洞绕过授权插件。
经过回溯这个漏洞最初是在 2019 年 1 月发布的 Docker Engine v18.09.1 版中发现并修复的,但由于某些原因修复程序并未在后续发布的新版本中生效,因此后续版本全部存在这个漏洞。
到 2024 年 4 月这个漏洞重新被发现,Docker 团队直到今天才为所有受支持的 Docker Engine 发布了安全补丁用于彻底修复这枚安全漏洞。
不过目前还不清楚是否已经有攻击者在过去五年利用这个漏洞来访问那些未经授权的 Docker 容器,不过使用 Docker 的最好立即升级到最新版本。
下面是漏洞概览:
该漏洞编号为 CVE-2024-41110,CVSS 评分为满分也就是 10 分,攻击者可以发送 Content-Length 为 0 的特制 API 请求,诱骗 Docker 守护进程将其转发到 AuthZ 授权插件中。
在典型的场景中 API 请求包括发起请求主体的必要数据,授权插件则会检查该主体提供的数据做出访问控制决策,例如信息不足则会授权失败拒绝访问。
然而当内容长度被设置为 0 时,身份验证插件无法执行正确的验证,这会给 Docker 造成未经授权的权限提升风险。
影响的版本:
如果用户使用身份验证插件则影响 Docker Engine v19.03.15、v20.10.27、v23.0.14、v24.0.9、v25.0.5、v26.0.2、v26.1.4、v27.0.3、v27.1.0 版。
如果用户并未使用身份验证插件则不会受到任何影响,该漏洞核心就是身份验证插件,在不使用验证插件的情况下所有版本以及 Docker 商业产品都不受影响。
目前 Docker 已经发布 v23.0.14 和 v27.1.0 版用来修复这个漏洞,需要注意的是 Docker Desktop v4.32.0 版也受这个漏洞影响,Doicker 将在即将推出的 v4.33.0 中修复漏洞。
对于短时间无法升级的用户建议直接禁止 AuthZ 身份验证插件并限制为仅限受信任的用户才能访问 Docker API,其他用户一律拒绝访问。
