(https://i.postimg.cc/Vsp6qBLY/Docker-Engine.png) (https://postimages.org/)
Una vulnerabilidad, rastreada como CVE-2024-41110 ( puntaje CVSS de 10.0 ), en ciertas versiones de Docker Engine puede permitir a un atacante eludir los complementos de autorización (AuthZ) en circunstancias específicas.
"Un atacante podría aprovechar una omisión utilizando una solicitud API con Content-Length establecida en 0, lo que provocaría que el demonio Docker reenviara la solicitud sin el cuerpo al complemento AuthZ, que podría aprobar la solicitud incorrectamente".
"Utilizando una solicitud de API especialmente diseñada, un cliente de Engine API podría hacer que el demonio reenvíe la solicitud o respuesta a un complemento de autorización sin el cuerpo. En determinadas circunstancias, el complemento de autorización puede permitir una solicitud que, de otro modo, habría rechazado si se le hubiera enviado el organismo".
Una falla descubierta en 2018 permitió a los atacantes eludir los complementos de autorización (AuthZ) en Docker Engine mediante solicitudes API diseñadas, lo que podría conducir a acciones no autorizadas, incluida la escalada de privilegios. La vulnerabilidad se solucionó con el lanzamiento de Docker Engine v18.09.1, pero no se incluyó en versiones principales posteriores, lo que provocó una regresión. Este problema no afecta a Docker EE v19.03.x ni a ninguna versión de Mirantis Container Runtime.
La vulnerabilidad se descubrió en abril de 2024 y se solucionó con el lanzamiento de las versiones 23.0.14 y 27.1.0 el 23 de julio de 2024. A continuación, se muestra la lista de versiones de Docker Engine que se ven afectadas si se utiliza el complemento AuthZ:
<= v19.03.15
<= v20.10.27
<=v23.0.14
<= v24.0.9
<= v25.0.5
<=v26.0.2
<= v26.1.4
<= v27.0.3, y
<= v27.1.0
Docker Engine v19.03.x y versiones posteriores no se ven afectados si no se utilizan complementos de autorización para las decisiones de control de acceso. Del mismo modo, todas las versiones de Mirantis Container Runtime no se ven afectadas por el problema.
"Los usuarios de los productos comerciales y la infraestructura interna de Docker que no dependen de los complementos de AuthZ no se ven afectados"; continúa el aviso.
Docker Desktop hasta la versión 4.32.0 incluye versiones vulnerables de Docker Engine. Sin embargo, el riesgo se mitiga porque la explotación requiere acceso a la API de Docker, que normalmente necesita acceso local a la máquina host. De forma predeterminada, Docker Desktop no incluye complementos de AuthZ, lo que limita la escalada de privilegios a la máquina virtual de Docker Desktop en lugar del host subyacente. Se espera una versión corregida de Docker Engine en Docker Desktop v4.33, que solucione estos problemas de seguridad.
A continuación, se detallan los pasos de solución propuestos por los mantenedores de Docker:
Actualizar el motor Docker:
Si está ejecutando una versión afectada, actualice a la versión parcheada más reciente.
Mitigación si no se puede actualizar inmediatamente:
Evite el uso de complementos de AuthZ.
Restrinja el acceso a la API de Docker a partes confiables, siguiendo el principio de privilegio mínimo.
Actualizar el escritorio Docker:
Si utiliza una versión afectada, actualice a Docker Desktop 4.33 después de su lanzamiento.
Asegúrese de que no se utilicen complementos de AuthZ y no exponga la API de Docker a través de TCP sin protección.
Los suscriptores de Docker Business pueden utilizar la administración de configuración para aplicar configuraciones seguras.
Fuente:
SecurityAffairs
https://securityaffairs.com/166160/hacking/docker-engine-critical-flaw.html