Docker a publié des mises à jour de sécurité pour corriger une vulnérabilité critique affectant certaines versions de Docker Engine qui pourrait permettre à un attaquant de contourner les plugins d'autorisation (AuthZ) dans certaines circonstances.

La faille a été initialement découverte et corrigée dans Docker Engine v18.09.1, publié en janvier 2019, mais pour une raison quelconque, le correctif n'a pas été reporté dans les versions ultérieures, de sorte que la faille a refait surface.

Cette régression dangereuse n'a été identifiée qu'en avril 2024 et des correctifs ont finalement été appliqués. publié aujourd'hui pour toutes les versions de Docker Engine prises en charge.

Bien que cela ait laissé aux attaquants une période confortable de 5 ans pour exploiter la faille, il n'est pas certain qu'elle ait jamais été exploitée dans la nature pour obtenir un accès non autorisé aux instances Docker.

Un défaut vieux de cinq ans

La faille, désormais traquée sous CVE-2024-41110est un problème de gravité critique (score CVSS : 10,0) qui permet à un attaquant d'envoyer une requête API spécialement conçue avec une longueur de contenu de 0, pour inciter le démon Docker à la transmettre au plugin AuthZ.

Dans les scénarios typiques, les requêtes API incluent un corps contenant les données nécessaires à la requête, et le plug-in d'autorisation inspecte ce corps pour prendre des décisions de contrôle d'accès.

Lorsque la longueur du contenu est définie sur 0, la demande est transmise au plug-in AuthZ sans le corps, de sorte que le plug-in ne peut pas effectuer de validation appropriée. Cela implique le risque d'approuver des demandes d'actions non autorisées, y compris l'élévation des privilèges.

CVE-2024-41110 affecte les versions de Docker Engine jusqu'à v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, v26.0.2, v26.1.4, v27.0.3 et v27.1.0, pour les utilisateurs qui utilisent des plugins d'autorisation pour le contrôle d'accès.

Les utilisateurs qui ne dépendent pas des plugins pour l'autorisation, les utilisateurs de Mirantis Container Runtime et les utilisateurs de produits commerciaux Docker ne sont pas concernés par CVE-2024-41110, quelle que soit la version qu'ils exécutent.

Il est conseillé aux utilisateurs concernés de migrer dès que possible vers les versions corrigées v23.0.14 et v27.1.0.

Il est également à noter que la dernière version de Docker Desktop, 4.32.0, inclut un moteur Docker vulnérable, mais l'impact y est limité car l'exploitation nécessite l'accès à l'API Docker, et toute action d'escalade de privilèges serait limitée à la VM.

La prochaine version de Docker Desktop v4.33.0 résoudra le problème, mais elle n'a pas encore été publiée.

Il est conseillé aux utilisateurs qui ne peuvent pas passer à une version sûre de désactiver les plugins AuthZ et de restreindre l'accès à l'API Docker uniquement aux utilisateurs de confiance.