Docker, belirli durumlarda bir saldırganın yetkilendirme eklentilerini (AuthZ) atlatmasına olanak sağlayabilecek Docker Engine’in belirli sürümlerini etkileyen kritik bir güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
Söz konusu kusur ilk olarak Ocak 2019’da yayınlanan Docker Engine v18.09.1’de keşfedilmiş ve düzeltilmişti, ancak bazı nedenlerden dolayı düzeltme sonraki sürümlere taşınmadı ve böylece kusur yeniden ortaya çıktı.
Bu tehlikeli gerileme ancak 2024 yılının Nisan ayında tespit edildi ve sonunda bugün desteklenen tüm Docker Engine sürümleri için yamalar yayınlandı.
Bu durum saldırganlara bu açığı kullanmak için rahat bir 5 yıllık süre tanısa da, bunun Docker örneklerine yetkisiz erişim elde etmek için yaygın olarak kullanılıp kullanılmadığı belirsiz.
Beş yıllık bir kusur
Şu anda CVE-2024-41110 altında takip edilen bu kusur, bir saldırganın, Docker daemon’ını AuthZ eklentisine iletmesi için kandırmak amacıyla İçerik Uzunluğu 0 olan özel olarak hazırlanmış bir API isteği göndermesine olanak tanıyan kritik öneme sahip (CVSS puanı: 10.0) bir sorundur.
Tipik senaryolarda, API istekleri, istek için gerekli verileri içeren bir gövdeyi içerir ve yetkilendirme eklentisi, erişim kontrol kararları almak için bu gövdeyi inceler.
İçerik Uzunluğu 0 olarak ayarlandığında, istek gövde olmadan AuthZ eklentisine iletilir, bu nedenle eklenti uygun doğrulamayı gerçekleştiremez. Bu, ayrıcalık yükseltmesi de dahil olmak üzere yetkisiz eylemler için istekleri onaylama riskini beraberinde getirir.
CVE-2024-41110, erişim denetimi için yetkilendirme eklentileri kullanan kullanıcılar için v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, v26.0.2, v26.1.4, v27.0.3 ve v27.1.0’a kadar olan Docker Engine sürümlerini etkiler.
Yetkilendirme için eklentilere güvenmeyen kullanıcılar, Mirantis Container Runtime kullanıcıları ve Docker ticari ürünlerini kullananlar, hangi sürümü çalıştırırlarsa çalıştırsınlar CVE-2024-41110’dan etkilenmezler.
Etkilenen kullanıcıların en kısa sürede v23.0.14 ve v27.1.0’a geçmeleri tavsiye edilen yamalı sürümler şunlardır.
Ayrıca Docker Desktop’ın en son sürümü olan 4.32.0’ın güvenlik açığı bulunan bir Docker Engine içerdiği, ancak buradaki etkinin sınırlı olduğu, çünkü istismarın Docker API’sine erişim gerektirdiği ve herhangi bir ayrıcalık yükseltme işleminin yalnızca VM ile sınırlı olacağı belirtiliyor.
Yakında çıkacak olan Docker Desktop v4.33.0 sürümü bu sorunu çözecek ancak henüz yayınlanmadı.
Güvenli sürüme geçemeyen kullanıcıların AuthZ eklentilerini devre dışı bırakmaları ve Docker API’sine erişimi yalnızca güvenilir kullanıcılarla sınırlamaları önerilir.