Docker masaüstünde CVE-2025-9074 olarak tanımlanan ciddi bir güvenlik açığı keşfedilmiştir ve kullanıcıları kötü niyetli kapların ana bilgisayar sisteme yetkisiz erişim sağlayabileceği kritik risklere maruz bırakmıştır. Bu kusur, Linux kapsayıcılarının Docker motoruyla nasıl etkileşime girdiğini ve potansiyel olarak saldırganların ana bilgisayarın dosya sistemini kontrol etmesine ve uygun koruma olmadan ayrıcalıklı komutları yürütmesine izin veriyor.
Kapsayıcı uygulama dağıtım için yaygın olarak kullanılan bir platform olan Docker, Docker masaüstünde kritik bir kusuru kabul eden bir danışmanlık yayınladı. Güvenlik açığı, yerel olarak çalışan kötü niyetli kapların kısıtlamaları atlamak ve önceden yapılandırılmış bir alt ağ aracılığıyla Docker Motor API’sına doğrudan erişmesini sağlar (varsayılan adres: 192.168.65.7:2375). Bu erişim, Docker soketinin monte edilmesini gerektirmez, bu da kusuru özellikle tehlikeli hale getirir.
CVE-2025-9074 Güvenlik Açığı’na Genel Bakış
Resmi sürüm notlarına göre, CVE-2025-9074’ten yararlanan kötü niyetli kaplar ek kaplar başlatabilir ve Docker ortamını yüksek ayrıcalıklarla manipüle edebilir. Bu, diğer kapları kontrol etme, Docker görüntülerini yönetme ve Windows ortamlarında Linux (WSL) arka uç için Windows alt sistemini kullanarak, ana disk docker masaüstünü çalıştıran kullanıcının izinleriyle monte etme özelliğini içerir. Özellikle, güvenlik açığı, bu saldırı vektörüne karşı gelişmiş konteyner izolasyonu (ECI) etkisiz olan mevcut koruyucu özellikleri sağlar.
Teknik detaylar ve etki
Güvenlik açığı, Linux kapsayıcıları yerel olarak çalıştıran Docker masaüstü sürümlerini etkiler ve güvenlik seçeneklerinin nasıl yapılandırıldığına kayıtsızdır. “TCP: // Localhost: 2375’teki Daemon’u TLS olmadan açığa çıkarsa bile, kusur sömürülebilir kalır.
Güvenlik Açığı Raporunda vurgulanan önemli bir nokta, saldırganların alt ağ arayüzüne erişerek Docker Engine API’sına ayrıcalıklı komutlar gönderebilmeleridir. WSL arka ucunu kullanarak Windows için Docker Desktop gibi ortamlarda, bu saldırganlara dönüşür Potansiyel olarak ana bilgisayar sürücülerini monte etme ve kullanıcı düzeyinde izinlerle hassas kullanıcı dosyalarına erişerek ihlalin şiddetini artırır.
Yanıt ve azaltma
Docker, 20 Ağustos 2025’te yayınlanan 4.44.3 sürümünden başlayarak Docker Desktop’un güncellenmiş sürümlerini yayınlayarak derhal yanıt verdi. Güncelleme, Docker motoruna yetkisiz konteyner erişimini önlemek için güvenlik açığını yamalayarak CVE-2025-9074’ü özellikle ele alıyor.
Docker Desktop 4.44.3 Durumu için Sürüm Notları:
“Docker masaüstünde çalışan kötü niyetli bir kabın Docker motoruna erişebileceği ve Docker soketinin monte edilmesini gerektirmeden ek kaplar başlatabileceği sabit CVE-2025-9074.
Kullanıcılara hemen en son Docker masaüstü sürümlerine yükseltme çağrısı yapılır.. En son sürümden altı aydan daha eski Docker masaüstü sürümleri artık desteklenmiyor veya indirilebilir.
Son Docker masaüstü güncellemeleri
Bu güvenlik açığı, Docker Desktop’un ekosistemindeki bir dizi devam eden güncelleme ve iyileştirmenin ortasında geliyor. 4.44.2 ve 4.44.1 gibi önceki sürümler, Docker boşaltma beta’yı entegre etmek ve özellikle WSL 2 kullanıcıları için başlangıç stabilitesini geliştirmek gibi hata düzeltmelerine ve özellik geliştirmelerine odaklanmıştır.
Ağustos 2025’in başlarında piyasaya sürülen sürüm 4.44.0, WSL 2 için önemli kararlılık iyileştirmeleri getirdi ve Docker Model Runner’da birden fazla model çalıştırmak için gelişmiş özellikler ekledi. Ayrıca Docker Engine gibi çekirdek bileşenleri sürüm 28.3.2’ye yükseltti ve Docker 2.39.1 sürümüne yükseldi.
Özellikle, Docker ekibi daha önce NVIDIA konteyneri araç seti ile ilgili başka bir kritik güvenlik sorunu olan CVE-2025-23266’ya, Docker masaüstü ile paketlenmiş araç setini 1.17.8 sürümüne güncelleyerek ele almıştı.
En son Docker masaüstü güncellemesi, kritik CVE-2025-9074 güvenlik açığını ve izinleri, kubernetes, yükleyici stabilitesini ve performansı etkileyen birkaç hatayı giderir. Kullanıcılar, özellikle Linux kapsayıcılarını çalıştıranlar, hemen 4.44.3 veya daha sonraki sürümlere güncellenmeli, sürümlerini düzenli olarak kontrol etmeli ve şüpheli etkinlikleri izlemelidir.
Bu, güçlü izolasyon bile düzenli güncellemelerin yerini alamadığından, zamanında yama ve güvenlik uyanıklığının önemini vurgular. Docker’ın hızlı yanıtı güvenliğe olan bağlılığını gösterir, ancak kullanıcılar ortamlarını güvende tutmak için proaktif kalmalıdır.