Docker发布安全更新修正存在长达5年的权限绕过缝隙 主张用户赶快晋级

虚拟化和容器服务开发商 Docker 日前发布了安全更新用以修正某些版别的 Docker Engine 存在的高危安全缝隙，攻击者能够在某些情况下运用该缝隙绕过授权插件。

通过回溯这个缝隙开始是在 2019 年 1 月发布的 Docker Engine v18.09.1 版中发现并修正的，但由于某些原因修正程序并未在后续发布的新版别中收效，因而后续版别悉数存在这个缝隙。

到 2024 年 4 月这个缝隙从头被发现，Docker 团队直到今天才为一切受支撑的 Docker Engine 发布了安全补丁用于完全修正这枚安全缝隙。

不过现在还不清楚是否现已有攻击者在曩昔五年运用这个缝隙来拜访那些未经授权的 Docker 容器，不过运用 Docker 的最好当即晋级到最新版别。

下面是缝隙概览：

该缝隙编号为 CVE-2024-41110，CVSS 评分为满分也便是 10 分，攻击者能够发送 Content-Length 为 0 的特制 API 恳求，拐骗 Docker 看护进程将其转发到 AuthZ 授权插件中。

在典型的场景中 API 恳求包含主张恳求主体的必要数据，授权插件则会查看该主体供给的数据做出拜访操控决议计划，例如信息缺乏则会授权失利回绝拜访。

但是当内容长度被设置为 0 时，身份验证插件无法履行正确的验证，这会给 Docker 形成未经授权的权限提高危险。

影响的版别：

假如用户运用身份验证插件则影响 Docker Engine v19.03.15、v20.10.27、v23.0.14、v24.0.9、v25.0.5、v26.0.2、v26.1.4、v27.0.3、v27.1.0 版。

假如用户并未运用身份验证插件则不会受到任何影响，该缝隙中心便是身份验证插件，在不运用验证插件的情况下一切版别以及 Docker 商业产品都不受影响。

现在 Docker 现已发布 v23.0.14 和 v27.1.0 版用来修正这个缝隙，需求留意的是 Docker Desktop v4.32.0 版也受这个缝隙影响，Doicker 将在行将推出的 v4.33.0 中修正缝隙。

关于短时间无法晋级的用户主张直接制止 AuthZ 身份验证插件并限制为仅限受信赖的用户才干拜访 Docker API，其他用户一概回绝拜访。