Docker 针对影响某些版本的 Docker Engine 的严重漏洞发布了安全公告。此漏洞被标识为CVE-2024-41110,CVSS 评分为10,表明严重性较高。此问题允许攻击者在特定情况下绕过授权插件 (AuthZ),可能导致未经授权的操作,包括权限提升。虽然被利用的可能性很低,但影响可能很大,因此需要立即引起 Docker 用户的注意。
该漏洞可使恶意行为者在某些条件下绕过授权插件 (AuthZ)。AuthZ 插件旨在在 Docker Engine 环境中实施细粒度的访问控制。然而,这种回归允许攻击者编写绕过这些检查的 API 请求,从而可能授予他们未经授权的权限。
CVE-2024-41110漏洞影响 Docker Engine 版本 19.03.x 及更高版本,具体而言,影响那些配置为使用 AuthZ 插件的版本。未使用 AuthZ 插件或运行旧版 Docker Engine 的用户不易受到影响。
虽然被利用的可能性很低,但潜在影响却很大,特别是在 Docker Engine 在容器编排和部署中发挥关键作用的生产环境中。
对流行的开发工具 Docker Desktop 的影响不那么严重。利用该漏洞需要访问 Docker API,通常需要本地访问计算机,除非守护进程配置不安全。此外,Docker Desktop 的默认配置不包含 AuthZ 插件。但是,Docker 建议更新到 4.33 版本,该版本将包含修补版本的 Docker Engine。
Docker 强烈建议所有受影响的用户立即采取行动:
-
更新Docker Engine:尽快更新到Docker Engine的最新修补版本。
-
缓解措施:如果无法立即更新,请暂时禁用 AuthZ 插件并限制对 Docker API 的访问。
-
更新 Docker Desktop:发布时更新至 Docker Desktop 4.33 版本。
原文始发于微信公众号(独眼情报):CVE-2024-41110 (CVSS 10) 可能导致docker系统接管
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论