Konteynerli uygulamaları yöneten geliştiriciler için temel taşı olan Docker Compose, saldırganların ana bilgisayar sisteminin herhangi bir yerindeki dosyaların üzerine yazmasına olanak tanıyan yüksek önem derecesine sahip bir güvenlik açığı barındırıyor.
Ekim 2025’in başlarında Imperva tarafından keşfedilen sorun, Docker’ın OCI desteğindeki uzak yapıtların yanlış işlenmesinden kaynaklanıyor ve konteynerleri başlatmadan bile yol geçiş saldırılarına olanak tanıyor.
CVSS puanı 8,9 olan CVE-2025-62725 olarak atanan kusur, CI/CD işlem hatları, yerel geliştirme ve bulut ortamlarındaki milyonlarca iş akışını etkiliyor. Docker, 2.40.2 sürümünde hızlı bir şekilde düzeltme eki uygulayarak kullanıcıları hemen güncelleme yapmaya teşvik etti.
Güvenlik açığı, araştırmacıların Docker Compose’un OCI tabanlı yapıtlara yönelik, ekiplerin taşınabilir Compose projelerini kayıt defterleri aracılığıyla paylaşmasına olanak tanıyan yeni özelliğini incelemesiyle ortaya çıktı.
Bu yapılar, yapılandırmaları, ortam dosyalarını ve uzantıları almak için YAML dosyalarındaki basit “include” yönergelerini kullanır. Perde arkasında Compose, katmanları kayıt defterinden indirir ve bunları com.docker.compose.file veya com.docker.compose.envfile gibi ek açıklamaların rehberliğinde yerel bir önbellek dizininde yeniden oluşturur.
Bu ek açıklamalar dosya hedeflerini belirliyor, ancak oci.go’daki kod bunları körü körüne önbellek yoluyla birleştiriyor, normalleştirmeyi veya sınır kontrollerini atlıyor.
Saldırganlar, önbellekten kaçmak ve SSH anahtarları veya sistem yapılandırmaları gibi hassas konumları hedeflemek için ek açıklamalar içeren kötü amaçlı yapılar oluşturabilir.
Tehlike gizliliğinde yatmaktadır: “docker compose config” veya “docker compose ps” gibi “salt okunur” işlemler sırasında tetiklenir ve kullanıcının dosya yazma niyeti olmadan uzak içerikleri çözer.
Konsept kanıtı, ~/.ssh/authorized_keys dosyasına bir SSH genel anahtarının enjekte edildiğini ve uzaktan erişim verildiğini gösteriyor; bunların tümü, güvenilmeyen bir YAML dosyası üzerinde rutin bir komut çalıştıran kandırılmış bir geliştirici tarafından gerçekleştiriliyor.
Bu böceğin inceliği tehdidini artırıyor. Geliştiriciler genellikle Compose dosyalarını genel depolarda veya CI sistemlerinde paylaşırlar, ancak kurcalanmış bir “içermenin” zehirli bir yapıya yol açabileceğinin farkında değildirler.
Kurumsal ayarlarda, Compose ikili programının izinleriyle dosyaları alıp yazarken süreç sunucu IP’lerini sızdırdığından, bulut geliştirme ortamları veya otomatikleştirilmiş yapılar ana hedefler haline gelir.
Güvenli denetim ile kullanım arasındaki çizgiyi bulanıklaştıran, konteynerin başlatılmasına gerek yoktur. Etkiler Docker Masaüstü’nü, Linux ikili dosyalarını ve tümleşik araçları kapsar ve ana bilgisayarın kök olarak çalıştırılması veya geniş yazma erişimine sahip olması durumunda potansiyel olarak tüm sistemin tehlikeye girmesine yol açar.
Docker’ın düzeltmesi, yolları normalleştiren ve geçişleri veya mutlak referansları reddeden bir validatePathInBase işlevi sunar. 9 Ekim’de bildirilen, 21 Ekim’de onaylanan ve 27 Ekim’de yayınlanan yama, OCI özelliklerini bozmadan açığı kapatıyor.
Güvenlik uzmanları, paylaşılan Compose dosyalarını denetlemeyi ve araçları en az ayrıcalıkla çalıştırmayı vurguluyor. Konteyner düzenlemesi geliştikçe bu olay, uzak meta verilere güvenmenin tehlikelerini vurguluyor ve geliştiricilere rahatlığın asla doğrulamayı geride bırakmaması gerektiğini hatırlatıyor.
Güncelleştirmelerin uygulanmasıyla Docker Compose güvenilir statüsünü yeniden kazanır ancak birbirine bağlı DevOps çağında dikkatli olmak kilit nokta olmaya devam ediyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
