خطأ فادح في Docker Engine يسمح للمهاجمين بتجاوز مكونات التفويض الإضافية

25 يوليو 2024غرفة الأخبارأمن الحاويات / الضعف

يحذر Docker من وجود خلل خطير يؤثر على إصدارات معينة من Docker Engine والذي قد يسمح للمهاجم بتجنب المكونات الإضافية للتفويض (AuthZ) في ظل ظروف معينة.

تتبع باسم CVE-2024-41110، تحمل ثغرة تصعيد التجاوز والامتياز درجة CVSS تبلغ 10.0، مما يشير إلى الحد الأقصى من الخطورة.

“يمكن للمهاجم استغلال التجاوز باستخدام طلب واجهة برمجة التطبيقات (API) مع ضبط طول المحتوى على 0، مما يتسبب في قيام البرنامج الخفي Docker بإعادة توجيه الطلب بدون النص إلى المكون الإضافي AuthZ، والذي قد يوافق على الطلب بشكل غير صحيح،” قال مشرفو مشروع Moby في تدوينة. استشاري.

قال Docker إن المشكلة عبارة عن تراجع حيث تم اكتشاف المشكلة في الأصل في عام 2018 وتمت معالجتها في Docker Engine v18.09.1 ​​في يناير 2019، ولكن لم يتم ترحيلها مطلقًا إلى الإصدارات اللاحقة (19.03 والإصدارات الأحدث).

تم حل المشكلة في الإصدارين 23.0.14 و27.1.0 اعتبارًا من 23 يوليو 2024، بعد تحديد المشكلة في أبريل 2024. تتأثر الإصدارات التالية من Docker Engine بافتراض استخدام AuthZ لاتخاذ قرارات التحكم في الوصول –

• <= v19.03.15
• <= v20.10.27
• <= v23.0.14
• <= v24.0.9
• <= v25.0.5
• <= v26.0.2
• <= v26.1.4
• <= v27.0.3 و
• <= v27.1.0

“مستخدمو Docker Engine v19.03.x والإصدارات الأحدث الذين لا يعتمدون على مكونات التفويض الإضافية لاتخاذ قرارات التحكم في الوصول ومستخدمي جميع إصدارات Mirantis Container Runtime ليسوا عرضة للخطر،” غابرييلا جورجييفا من Docker قال.

“لا يتأثر مستخدمو منتجات Docker التجارية والبنية التحتية الداخلية الذين لا يعتمدون على مكونات AuthZ الإضافية.”

ويؤثر أيضًا على Docker Desktop حتى الإصدارات 4.32.0، على الرغم من أن الشركة قالت إن احتمالية الاستغلال محدودة وتتطلب الوصول إلى Docker API، مما يستلزم أن يكون لدى المهاجم بالفعل وصول محلي إلى المضيف. ومن المتوقع أن يتم تضمين الإصلاح في الإصدار القادم (الإصدار 4.33).

وأشارت جورجييفا إلى أن “التكوين الافتراضي لـ Docker Desktop لا يتضمن مكونات AuthZ الإضافية”. “يقتصر تصعيد الامتيازات على Docker Desktop [virtual machine]، وليس المضيف الأساسي.”

على الرغم من أن Docker لم يذكر استغلال CVE-2024-41110 بشكل عام، إلا أنه من الضروري أن يقوم المستخدمون بتطبيق عمليات التثبيت الخاصة بهم على أحدث إصدار للتخفيف من التهديدات المحتملة.

في وقت سابق من هذا العام، تحركت شركة Docker لتصحيح مجموعة من العيوب التي يطلق عليها اسم Leaky Vessels والتي يمكن أن تمكن المهاجم من الوصول غير المصرح به إلى نظام الملفات المضيف والخروج من الحاوية.

“مع ارتفاع شعبية الخدمات السحابية، يزداد أيضًا استخدام الحاويات، التي أصبحت جزءًا لا يتجزأ من البنية التحتية السحابية،” وحدة بالو ألتو نتوركس 42 قال في تقرير نشر الأسبوع الماضي. “على الرغم من أن الحاويات توفر العديد من المزايا، إلا أنها أيضًا عرضة لتقنيات الهجوم مثل هروب الحاويات.”

“من خلال مشاركة نفس النواة وغالبًا ما تفتقر إلى العزلة الكاملة عن وضع المستخدم الخاص بالمضيف، تكون الحاويات عرضة لمختلف التقنيات التي يستخدمها المهاجمون الذين يسعون للهروب من حدود بيئة الحاوية.”