Ένα κρίσιμο ελάττωμα σε ορισμένες εκδόσεις του Docker Engine μπορεί να χρησιμοποιηθεί για την παράκαμψη των plugins εξουσιοδότησης (AuthZ) υπό συγκεκριμένες συνθήκες.
Μια ευπάθεια, που εντοπίζεται ως CVE-2024-41110 (CVSS score 10.0), σε ορισμένες εκδόσεις του Docker Engine μπορεί να επιτρέψει σε έναν εισβολέα να παρακάμψει τα authorization plugins (AuthZ) υπό συγκεκριμένες συνθήκες.
“Ένας επιτιθέμενος θα μπορούσε να εκμεταλλευτεί την παράκαμψη χρησιμοποιώντας ένα αίτημα API με Content-Length ορισμένο σε 0, προκαλώντας τον δαίμονα του Docker να προωθήσει το αίτημα χωρίς το σώμα στο πρόσθετο AuthZ, το οποίο μπορεί να εγκρίνει το αίτημα εσφαλμένα.” αναφέρει η πλατφόρμα. “Χρησιμοποιώντας ένα ειδικά διαμορφωμένο αίτημα API, ένας πελάτης API της Engine θα μπορούσε να κάνει τον daemon να προωθήσει το αίτημα ή την απάντηση σε ένα plugin εξουσιοδότησης χωρίς το body. Σε ορισμένες περιπτώσεις, το πρόσθετο εξουσιοδότησης μπορεί να επιτρέψει μια αίτηση την οποία διαφορετικά θα είχε απορρίψει αν του είχε προωθηθεί το σώμα”.
Ένα ελάττωμα που ανακαλύφθηκε το 2018 επέτρεπε σε επιτιθέμενους να παρακάμπτουν τα plugins εξουσιοδότησης (AuthZ) στο Docker Engine χρησιμοποιώντας επεξεργασμένα αιτήματα API, οδηγώντας ενδεχομένως σε μη εξουσιοδοτημένες ενέργειες, συμπεριλαμβανομένης της κλιμάκωσης προνομίων. Η ευπάθεια αντιμετωπίστηκε με την κυκλοφορία της Docker Engine v18.09.1, αλλά δεν συμπεριλήφθηκε στις επόμενες μεγάλες εκδόσεις, προκαλώντας οπισθοδρόμηση. Αυτό το ζήτημα δεν επηρεάζει το Docker EE v19.03.x ή οποιαδήποτε έκδοση του Mirantis Container Runtime.
Η ευπάθεια ανακαλύφθηκε τον Απρίλιο του 2024 και αντιμετωπίστηκε με την κυκλοφορία των εκδόσεων 23.0.14 και 27.1.0 στις 23 Ιουλίου 2024. Παρακάτω παρατίθεται η λίστα των εκδόσεων του Docker Engine που επηρεάζονται εάν χρησιμοποιείται το πρόσθετο AuthZ:
- <= v19.03.15
- <= v20.10.27
- <= v23.0.14
- <= v24.0.9
- <= v25.0.5
- <= v26.0.2
- <= v26.1.4
- <= v27.0.3, και
- <= v27.1.0
Οι εκδόσεις Docker Engine v19.03.x και μεταγενέστερες δεν επηρεάζονται εάν δεν χρησιμοποιούνται πρόσθετα εξουσιοδότησης για αποφάσεις ελέγχου πρόσβασης. Ομοίως, όλες οι εκδόσεις του Mirantis Container Runtime δεν επηρεάζονται από το ζήτημα.
“Οι χρήστες των εμπορικών προϊόντων Docker και των εσωτερικών υποδομών που δεν βασίζονται στα AuthZ plugins δεν επηρεάζονται” συνεχίζει η συμβουλευτική.
Το Docker Desktop μέχρι την έκδοση 4.32.0 περιλαμβάνει ευάλωτες εκδόσεις του Docker Engine. Ωστόσο, ο κίνδυνος μετριάζεται επειδή η εκμετάλλευση απαιτεί πρόσβαση στο API του Docker, το οποίο συνήθως χρειάζεται τοπική πρόσβαση στο μηχάνημα υποδοχής. Από προεπιλογή, το Docker Desktop δεν περιλαμβάνει AuthZ plugins, περιορίζοντας την κλιμάκωση προνομίων στο Docker Desktop VM και όχι στον υποκείμενο host. Μια διορθωμένη έκδοση του Docker Engine αναμένεται στο Docker Desktop v4.33, που θα αντιμετωπίζει αυτές τις ανησυχίες ασφαλείας.
Παρακάτω παρατίθενται τα βήματα αποκατάστασης που προτείνονται από τους συντηρητές του Docker:
- Ενημέρωση του Docker Engine:
- Εάν εκτελείτε μια επηρεαζόμενη έκδοση, ενημερώστε στην πιο πρόσφατη ενημερωμένη έκδοση
2, Προσοχή σε περίπτωση αδυναμίας άμεσης ενημέρωσης:
- Αποφύγετε τη χρήση plugins AuthZ.
- Περιορίστε την πρόσβαση στο API του Docker σε έμπιστα μέρη, ακολουθώντας την αρχή των λιγότερων προνομίων.
- Ενημέρωση του Docker Desktop:
- Εάν χρησιμοποιείτε μια επηρεαζόμενη έκδοση, ενημερώστε το Docker Desktop 4.33 μετά την κυκλοφορία του.
- Βεβαιωθείτε ότι δεν χρησιμοποιούνται πρόσθετα AuthZ και μην εκθέτετε το API του Docker μέσω TCP χωρίς προστασία.
- Οι συνδρομητές του Docker Business μπορούν να χρησιμοποιούν τη Διαχείριση ρυθμίσεων για την επιβολή ασφαλών ρυθμίσεων.
