Společnost Docker varuje před kritickou chybou v některých verzích Docker Engine, která může útočníkovi za určitých okolností umožnit obejít autorizační pluginy (AuthZ). Zranitelnost je označena jako CVE-2024–41110 a má skóre CVSS 10.0, což znamená nejvyšší závažnost.
Útočník by mohl obejít požadavek API s nastavenou hodnotou Content-Length na 0, což by způsobilo, že by démon předal požadavek bez těla modulu AuthZ, který by mohl požadavek nesprávně schválit.
Problém byl vyřešen ve verzích 23.0.14 a 27.1.0 vydaných 23. července. Pokud se k řízení přístupu používá AuthZ, jsou ovlivněny následující verze nástroje Docker Engine a nižší: 19.03.15, 20.10.27, 23.0.14, 24.0.9, 25.0.5, 26.0.2, 26.1.4, 27.0.3 a 27.1.0.
Uživatelé Docker Engine 19.03.x a novějších verzí, kteří při řízení přístupu nespoléhají na autorizační pluginy, a uživatelé všech verzí Mirantis Container Runtime nejsou zranitelní. Přestože se Docker nezmiňuje o tom, že by byla zranitelnost aktivně zneužívána, měli by správci reagovat a provést patřičné aktualizace.
ČLÁNKY DO MAILU