【 資安警訊 】- Docker揭露嚴重度高達10分資安漏洞，問題出在外掛程式 AuthZ 的身分驗證，而且經過5年才發覺

發布編號：OIS-CTI-2024-07-005

情資來源：iThome、docker、Github

事件類型：漏洞警訊公告

內容說明：

Docker 資安螺絲鬆了 5 年多？外掛程式 AuthZ 有個漏洞在 2018 年公告，隔年 1 月發布的版本曾修正此問題，但後續版本竟沒有納入相關的程式碼，直到現在才被發現如此離譜狀況

圖片來源：Github

本週 Docker 發布資安公告，指出部分版本的 Docker 引擎存在弱點，導致攻擊者能在特定的情況下繞過用於授權的外掛程式 AuthZ ，影響 19.03 版以上的 Docker 引擎，目前被登記為 CVE-2024-41110 列管， CVSS 風險評為 10 分（滿分 10 分）。

值得留意的是，這項弱點曾於 2018 年發現，該公司於隔年 1 月發布 18.09.1 版予以修補，但這項弱點的修補程式碼卻並未延續到後續版本，直到今年 4 月才發現這樣的狀況，並在 7 月 23 日正式推出新版予以修補，使得這樣的弱點存在長達 5 年半，目前是否已被駭客掌握並用於攻擊行動，仍不得而知。

但已修補的漏洞程式碼為何會出現沒納入後來推出版本的情況？ Docker 並未進一步說明。

究竟這項漏洞會造成什麼樣的危險？該公司表示，攻擊者可發送特製的 API 請求，將 Content-Length 設置為 0 ，導致 Docker 的 Daemon 程式將沒有內容的請求轉送到 AuthZ ，該外掛程式無法正常進行驗證，而有可能直接核准身分驗證請求。

不過，他們也提及並非所有使用者都會受到影響。未採用 AuthZ 進行存取控制，或是導入 Mirantis Container Runtime（MCR）、企業版 Docker 的用戶，都不會受到上述弱點影響。換言之，若是無法即時更新 Docker 引擎的用戶，暫停使用 AuthZ ，並限縮 API 的存取權限，也能緩解這項漏洞帶來的危險。

該公司也提及，這項漏洞可能影響 Docker 桌面版本 4.32.0 ，原因是內含存在漏洞的 Docker 引擎，他們將會發布 4.33 更新進行修補，但也提及影響較為有限的情況。

因為，利用漏洞必須存取 API ，換言之，攻擊者必須能夠掌握 Docker 主機的本機存取權限，或是遇到 Daemon 不慎透過 TCP 曝露在外的組態設置狀況。

再者，預設的桌面版Docker組態並未包含 AuthZ ，此外，權限提升僅局限於 Docker 的虛擬機器，而非主機的底層。

影響平台：

●       Docker

影響版本：

官方建議措施：

1.       更新 Docker  引擎

Ø   如果您使用的是受影響的版本，請更新至最新的修補版本。

2.       如果無法立即更新，緩解措施：

Ø   避免使用  AuthZ 插件。

Ø   遵循最小權限原則，限制受信任方對 Docker API 的存取。

3.       更新 Docker 桌面：

Ø   如果使用受影響的版本，請在發布後更新至 Docker Desktop 4.33 。

Ø   確保不使用 AuthZ 插件，並且不要在沒有保護的情況下透過 TCP 公開 Docker API。

Ø   Docker Business訂閱者可以使用設定管理來強制執行安全性設定。

以上內容供大家參考，詳細內容可點及下方連結進行查看，謝謝。