聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞的CVSS评分为满分10分,最初在2018年发现并修复,但2019年1月的补丁并未推送到主要版本,从而导致回归问题。
Docker 提醒称,“依赖该授权插件来检查请求和/或响应正文来做出访问控制决策的任何人,都可能受影响。”安全公告提到,“Engine API 客户端使用特殊构造的 API 请求能够使该守护进程将没有正文的请求或响应转发给授权插件。在一些情况下,如果正文已被转发给该授权插件,则插件可能允许原本会被拒绝的请求。”
Docker 指出,“攻击者可通过 Content-Length 设为0的API请求来利用绕过,导致Docker守护进程将没有正文的请求转发给 AuthZ插件,而它可能会不正确地许可该请求。”
受影响版本包括 Docker Engine <= v19.03.15、<= v20.10.27、<= v23.0.14、<= v24.0.9、<= v25.0.5、<= v26.0.2、<= v26.1.4、<= v27.0.3以及 <= v27.1.0。已修复版本为 > v23.0.14 和 > v27.1.0。
Docker EE v19.03.x和Mirantis Container Runtime 所有版本不受影响。Docker 指出,不使用 AuthZ 插件的商用产品和内部基础设施均不受影响。
安全公告指出,Docker Desktop 4.32.0及之前版本虽然包括受影响的 Docker Engine,但影响仅限于生产环境。利用要求访问 Docker API,意味着攻击者通常需要获得对主机机器的本地访问权限,除非 Docker 守护进程通过 TCP 以不安全的方式遭暴露。
Docker Desktop 的默认配置不包括 AuthZ 插件,提权仅限于 Docker Desktop VM,而不包括底层主机。Docker Engine 的已修复版本将包含在 Docker Desktop 4.33版本中。
原文始发于微信公众号(代码卫士):Docker紧急修复已存在6年且可导致系统接管的CVSS满分严重漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论