Docker, Docker Engine’in belirli sürümlerini etkileyen ve bir saldırganın belirli koşullar altında yetkilendirme eklentilerini (AuthZ) atlatmasına olanak tanıyabilecek kritik bir kusur konusunda uyarıyor.
Takip edildi CVE-2024-41110bypass ve ayrıcalık yükseltme güvenlik açığının CVSS puanı 10.0 olup, bu da en yüksek ciddiyeti göstermektedir.
Moby Projesi bakıcıları bir duyuruda, “Bir saldırgan, İçerik Uzunluğu 0 olarak ayarlanmış bir API isteğini kullanarak bir baypastan faydalanabilir ve bu da Docker daemon’unun gövde olmadan isteği AuthZ eklentisine iletmesine neden olabilir ve bu da isteği yanlış bir şekilde onaylayabilir” dedi.
Docker, sorunun bir gerileme olduğunu, sorunun ilk olarak 2018’de keşfedildiğini ve Ocak 2019’da Docker Engine v18.09.1’de giderildiğini, ancak sonraki sürümlere (19.03 ve sonrası) taşınmadığını söyledi.
Sorun, Nisan 2024’te tanımlandıktan sonra 23 Temmuz 2024 itibarıyla 23.0.14 ve 27.1.0 sürümlerinde çözüldü. Erişim denetimi kararları almak için AuthZ kullanıldığı varsayılarak Docker Engine’in aşağıdaki sürümleri etkilenmiştir –
- <= v19.03.15
- <= v20.10.27
- <= v23.0.14
- <= v24.0.9
- <= v25.0.5
- <= v26.0.2
- <= v26.1.4
- <= v27.0.3 ve
- <= v27.1.0
Docker’dan Gabriela Georgieva, “Erişim kontrol kararları almak için yetkilendirme eklentilerine güvenmeyen Docker Engine v19.03.x ve sonraki sürümlerinin kullanıcıları ile Mirantis Container Runtime’ın tüm sürümlerini kullananlar savunmasız değil” dedi.
“Docker ticari ürünleri ve dahili altyapıyı kullanan ve AuthZ eklentilerine güvenmeyen kullanıcılar etkilenmez.”
Şirket, istismar olasılığının sınırlı olduğunu ve Docker API’sine erişim gerektirdiğini ve bir saldırganın ana bilgisayara yerel erişiminin zaten olması gerektiğini söylese de, 4.32.0 sürümlerine kadar Docker Desktop’ı da etkiliyor. Bir düzeltmenin yaklaşan bir sürümde (sürüm 4.33) yer alması bekleniyor.
“Varsayılan Docker Desktop yapılandırması AuthZ eklentilerini içermez,” diye belirtti Georgieva. “Ayrıcalık yükseltmesi Docker Desktop ile sınırlıdır [virtual machine]”Altta yatan ana bilgisayar değil.”
Docker, CVE-2024-41110’un gerçek hayatta istismar edildiğine dair hiçbir şey söylemese de, kullanıcıların olası tehditleri azaltmak için kurulumlarını en son sürüme uygulamaları önemlidir.
Docker, bu yılın başlarında, bir saldırganın ana dosya sistemine yetkisiz erişim sağlamasını ve konteynerden çıkmasını sağlayabilen Leaky Vessels adı verilen bir dizi açığı kapatmak için harekete geçti.
Palo Alto Networks Unit 42 geçen hafta yayınlanan bir raporda “Bulut hizmetleri popülerlik kazandıkça, bulut altyapısının entegre bir parçası haline gelen konteynerlerin kullanımı da artıyor” dedi. “Konteynerler birçok avantaj sağlasa da, konteyner kaçışları gibi saldırı tekniklerine karşı da hassastırlar.”
“Aynı çekirdeği paylaşan ve genellikle ana bilgisayarın kullanıcı modundan tam olarak izole edilemeyen konteynerlar, konteyner ortamının sınırlarından kaçmaya çalışan saldırganlar tarafından kullanılan çeşitli tekniklere karşı hassastır.”