Docker met en garde contre une faille critique affectant certaines versions de Docker Engine qui pourrait permettre à un attaquant de contourner les plugins d’autorisation (AuthZ) dans des circonstances spécifiques.
Suivi comme CVE-2024-41110la vulnérabilité de contournement et d’escalade de privilèges porte un score CVSS de 10,0, indiquant une gravité maximale.
« Un attaquant pourrait exploiter un contournement en utilisant une requête API avec Content-Length défini sur 0, obligeant le démon Docker à transmettre la requête sans le corps au plugin AuthZ, ce qui pourrait approuver la requête de manière incorrecte », ont déclaré les responsables du projet Moby dans un avis.
Docker a déclaré que le problème est une régression dans la mesure où il a été découvert à l’origine en 2018 et résolu dans Docker Engine v18.09.1 en janvier 2019, mais n’a jamais été reporté aux versions ultérieures (19.03 et ultérieures).
Le problème a été résolu dans les versions 23.0.14 et 27.1.0 du 23 juillet 2024, après que le problème ait été identifié en avril 2024. Les versions suivantes de Docker Engine sont concernées en supposant qu’AuthZ est utilisé pour prendre des décisions de contrôle d’accès –
« Les utilisateurs de Docker Engine v19.03.x et versions ultérieures qui ne s’appuient pas sur des plugins d’autorisation pour prendre des décisions de contrôle d’accès et les utilisateurs de toutes les versions de Mirantis Container Runtime ne sont pas vulnérables », Gabriela Georgieva de Docker dit.
« Les utilisateurs de produits commerciaux Docker et d’infrastructures internes qui ne dépendent pas des plugins AuthZ ne sont pas concernés. »
Ce problème affecte également Docker Desktop jusqu’à la version 4.32.0, bien que la société ait déclaré que la probabilité d’exploitation était limitée et qu’il nécessitait un accès à l’API Docker, ce qui nécessite qu’un attaquant ait déjà un accès local à l’hôte. Un correctif devrait être inclus dans une prochaine version (version 4.33).
« La configuration par défaut de Docker Desktop n’inclut pas les plugins AuthZ », a noté Georgieva. « L’escalade des privilèges est limitée à Docker Desktop [virtual machine]pas l’hôte sous-jacent.”
Bien que Docker ne fasse aucune mention de l’exploitation de la faille CVE-2024-41110 dans la nature, il est essentiel que les utilisateurs appliquent leurs installations à la dernière version pour atténuer les menaces potentielles.
Plus tôt cette année, Docker a tenté de corriger un ensemble de failles baptisées Leaky Vessels, qui pourraient permettre à un attaquant d’accéder sans autorisation au système de fichiers hôte et de sortir du conteneur.
« À mesure que les services cloud gagnent en popularité, l’utilisation de conteneurs augmente également, car ils font désormais partie intégrante de l’infrastructure cloud », Palo Alto Networks Unit 42 dit Dans un rapport publié la semaine dernière, il explique : « Bien que les conteneurs offrent de nombreux avantages, ils sont également vulnérables aux techniques d’attaque telles que les fuites de conteneurs. »
« Partageant le même noyau et manquant souvent d’isolation complète du mode utilisateur de l’hôte, les conteneurs sont sensibles à diverses techniques employées par les attaquants cherchant à échapper aux limites d’un environnement de conteneur. »