Docker Engine 严重缺陷可使攻击者绕过授权插件

Docker 警告称，Docker Engine 的某些版本存在一个严重缺陷，该缺陷可能允许攻击者在特定情况下绕过授权插件（AuthZ）。

该绕过和权限提升漏洞的编号为CVE-2024-41110，CVSS 评分为 10.0，表示严重程度最高。

Moby 项目维护人员在一份公告中表示：“攻击者可以利用将 Content-Length 设置为 0 的 API 请求进行绕过，导致 Docker 守护进程将没有正文的请求转发到 AuthZ 插件，这可能会导致错误地批准该请求。”

Docker 表示，该问题是一种倒退，因为该问题最初于 2018 年发现，并于 2019 年 1 月在 Docker Engine v18.09.1 中得到解决，但从未延续到后续版本（19.03 及更高版本）。

该问题于 2024 年 4 月被发现，截至 2024 年 7 月 23 日，该问题已在 23.0.14 和 27.1.0 版本中得到解决。假设使用 AuthZ 做出访问控制决策，以下版本的 Docker Engine 会受到影响 -

<= v19.03.15

<= v20.10.27

<= v23.0.14

<= v24.0.9

<= v25.0.5

<= v26.0.2

<= v26.1.4

<= v27.0.3，并且

<= v27.1.0

Docker 的 Gabriela Georgieva表示：“不依赖授权插件来做出访问控制决策的 Docker Engine v19.03.x 及更高版本的用户以及所有版本的 Mirantis Container Runtime 的用户均不会受到攻击。”

“不依赖 AuthZ 插件的 Docker 商业产品和内部基础设施的用户不受影响。”

它还会影响 Docker Desktop 4.32.0 及以下版本，不过该公司表示，利用该漏洞的可能性有限，并且需要访问 Docker API，因此攻击者必须已经拥有对主机的本地访问权限。预计修复程序将在即将发布的版本（4.33 版）中提供。

Georgieva 指出：“默认的 Docker Desktop 配置不包括 AuthZ 插件。权限提升仅限于 Docker Desktop [虚拟机]，而不是底层主机。”

尽管 Docker 没有提及 CVE-2024-41110 被野外利用，但用户必须将其安装应用到最新版本以减轻潜在威胁。

今年早些时候，Docker 修补了一组被称为Leaky Vessels的漏洞，这些漏洞可能使攻击者能够未经授权访问主机文件系统并突破容器。

Palo Alto Networks Unit 42 在上周发布的一份报告中指出： “随着云服务越来越受欢迎，容器的使用也越来越广泛，容器已成为云基础设施不可或缺的一部分。尽管容器具有诸多优势，但它们也容易受到容器逃逸等攻击技术的影响。”

“由于共享相同的内核，并且通常无法与主机的用户模式完全隔离，因此容器很容易受到试图逃离容器环境限制的攻击者所采用的各种技术的攻击。”