Docker advierte sobre una falla cr\u00edtica que afecta a ciertas versiones de Docker Engine y que podr\u00eda permitir a un atacante eludir los complementos de autorizaci\u00f3n (AuthZ) en circunstancias espec\u00edficas.<\/p>\n
Rastreado como CVE-2024-41110<\/a><\/strong>La vulnerabilidad de derivaci\u00f3n y escalada de privilegios tiene una puntuaci\u00f3n CVSS de 10,0, lo que indica la m\u00e1xima gravedad.<\/p>\n “Un atacante podr\u00eda explotar una omisi\u00f3n usando una solicitud API con Content-Length establecido en 0, lo que provocar\u00eda que el demonio Docker reenv\u00ede la solicitud sin el cuerpo al complemento AuthZ, que podr\u00eda aprobar la solicitud incorrectamente”, dijeron los mantenedores del Proyecto Moby en un aviso.<\/p>\n Docker dijo que el problema es una regresi\u00f3n, ya que se descubri\u00f3 originalmente en 2018 y se solucion\u00f3 en Docker Engine v18.09.1 \u200b\u200ben enero de 2019, pero nunca se traslad\u00f3 a versiones posteriores (19.03 y posteriores).<\/p>\n El problema se resolvi\u00f3 en las versiones 23.0.14 y 27.1.0 a partir del 23 de julio de 2024, despu\u00e9s de que se identificara el problema en abril de 2024. Las siguientes versiones de Docker Engine se ven afectadas suponiendo que se utiliza AuthZ para tomar decisiones de control de acceso:<\/p>\n “Los usuarios de Docker Engine v19.03.x y versiones posteriores que no dependen de complementos de autorizaci\u00f3n para tomar decisiones de control de acceso y los usuarios de todas las versiones de Mirantis Container Runtime no son vulnerables”, Gabriela Georgieva de Docker dicho<\/a>.<\/p>\n “Los usuarios de productos comerciales y de infraestructura interna de Docker que no dependen de los complementos de AuthZ no se ven afectados”.<\/p>\n Tambi\u00e9n afecta a Docker Desktop hasta la versi\u00f3n 4.32.0, aunque la empresa afirm\u00f3 que la probabilidad de explotaci\u00f3n es limitada y requiere acceso a la API de Docker, lo que requiere que un atacante ya tenga acceso local al host. Se espera que se incluya una soluci\u00f3n en una pr\u00f3xima versi\u00f3n (versi\u00f3n 4.33).<\/p>\n “La configuraci\u00f3n predeterminada de Docker Desktop no incluye los complementos de AuthZ”, se\u00f1al\u00f3 Georgieva. “La escalada de privilegios se limita a Docker Desktop [virtual machine]no el host subyacente”.<\/p>\n Si bien Docker no menciona que CVE-2024-41110 sea explotado en la naturaleza, es esencial que los usuarios apliquen sus instalaciones a la \u00faltima versi\u00f3n para mitigar posibles amenazas.<\/p>\n A principios de este a\u00f1o, Docker actu\u00f3 para reparar un conjunto de fallas denominadas Leaky Vessels que podr\u00edan permitir a un atacante obtener acceso no autorizado al sistema de archivos del host y escapar del contenedor.<\/p>\n “A medida que los servicios en la nube aumentan en popularidad, tambi\u00e9n lo hace el uso de contenedores, que se han convertido en una parte integrada de la infraestructura de la nube”, Palo Alto Networks Unit 42 dicho<\/a> En un informe publicado la semana pasada se afirma que “aunque los contenedores ofrecen muchas ventajas, tambi\u00e9n son susceptibles a t\u00e9cnicas de ataque como las fugas de contenedores”.<\/p>\n “Al compartir el mismo kernel y a menudo carecer de un aislamiento completo del modo de usuario del host, los contenedores son susceptibles a varias t\u00e9cnicas empleadas por atacantes que buscan escapar de los confines de un entorno de contenedores”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Un-fallo-critico-del-motor-Docker-permite-a-los-atacantes.png\")
<\/a><\/center><\/section>\n