本週Docker發布資安公告,指出部分版本的Docker引擎存在弱點,導致攻擊者能在特定的情況下繞過用於授權的外掛程式AuthZ,影響19.03版以上的Docker引擎,目前被登記為CVE-2024-41110列管,CVSS風險評為10分(滿分10分)。
值得留意的是,這項弱點曾於2018年發現,該公司於隔年1月發布18.09.1版予以修補,但這項弱點的修補程式碼卻並未延續到後續版本,直到今年4月才發現這樣的狀況,並在7月23日正式推出新版予以修補,使得這樣的弱點存在長達5年半,目前是否已被駭客掌握並用於攻擊行動,仍不得而知。
但已修補的漏洞程式碼為何會出現沒納入後來推出版本的情況?Docker並未進一步說明。
究竟這項漏洞會造成什麼樣的危險?該公司表示,攻擊者可發送特製的API請求,將Content-Length設置為0,導致Docker的Daemon程式將沒有內容的請求轉送到AuthZ,該外掛程式無法正常進行驗證,而有可能直接核准身分驗證請求。
不過,他們也提及並非所有使用者都會受到影響。未採用AuthZ進行存取控制,或是導入Mirantis Container Runtime(MCR)、企業版Docker的用戶,都不會受到上述弱點影響。換言之,若是無法即時更新Docker引擎的用戶,暫停使用AuthZ,並限縮API的存取權限,也能緩解這項漏洞帶來的危險。
該公司也提及,這項漏洞可能影響Docker桌面版本4.32.0,原因是內含存在漏洞的Docker引擎,他們將會發布4.33更新進行修補,但也提及影響較為有限的情況。
因為,利用漏洞必須存取API,換言之,攻擊者必須能夠掌握Docker主機的本機存取權限,或是遇到Daemon不慎透過TCP曝露在外的組態設置狀況。
再者,預設的桌面版Docker組態並未包含AuthZ,此外,權限提升僅局限於Docker的虛擬機器,而非主機的底層。
熱門新聞
2024-09-02
2024-09-02
2024-09-06
2024-09-02
2024-09-02
2024-09-03
2024-09-04
2024-09-02