CRITICAL✓ PATCH🇬🇧 English

CVE-2024-41110

Obejście wtyczek autoryzacji (AuthZ) w Docker Engine – privilege escalation

CVSS 9.9v3.1pub. 2024-07-24upd. 2026-04-15

Podatność w Docker Engine (projekt Moby) umożliwia atakującemu ominięcie wtyczek autoryzacji (AuthZ) poprzez spreparowane żądanie API, co może prowadzić do nieautoryzowanych działań, w tym privilege escalation. Błąd jest regresją naprawionej wcześniej w 2019 roku luki, która nie została przeniesiona do nowszych gałęzi projektu.

Pokaż oryginał (EN)

Moby is an open-source project created by Docker for software containerization. A security vulnerability has been detected in certain versions of Docker Engine, which could allow an attacker to bypass authorization plugins (AuthZ) under specific circumstances. The base likelihood of this being exploited is low. Using a specially-crafted API request, an Engine API client could make the daemon forward the request or response to an authorization plugin without the body. In certain circumstances, the authorization plugin may allow a request which it would have otherwise denied if the body had been forwarded to it. A security issue was discovered In 2018, where an attacker could bypass AuthZ plugins using a specially crafted API request. This could lead to unauthorized actions, including privilege escalation. Although this issue was fixed in Docker Engine v18.09.1 in January 2019, the fix was not carried forward to later major versions, resulting in a regression. Anyone who depends on authorization plugins that introspect the request and/or response body to make access control decisions is potentially impacted. Docker EE v19.03.x and all versions of Mirantis Container Runtime are not vulnerable. docker-ce v27.1.1 containes patches to fix the vulnerability. Patches have also been merged into the master, 19.03, 20.0, 23.0, 24.0, 25.0, 26.0, and 26.1 release branches. If one is unable to upgrade immediately, avoid using AuthZ plugins and/or restrict access to the Docker API to trusted parties, following the principle of least privilege.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane żądanie do Docker Engine API, powodując że demon przekazuje żądanie lub odpowiedź do wtyczki autoryzacyjnej (AuthZ) bez dołączonego ciała (body) żądania. Wtyczka AuthZ, nie widząc treści żądania, może błędnie ocenić je jako dozwolone, mimo że przy pełnej inspekcji body zostałoby ono odrzucone. Jest to wynik nieprawidłowej obsługi żądań HTTP (CWE-444 – niespójność interpretacji wiadomości) oraz wadliwej weryfikacji uprawnień (CWE-863). Podatność pierwotnie odkryto w 2018 roku i naprawiono w Docker Engine v18.09.1, jednak poprawka nie została przeniesiona do późniejszych głównych wersji.

Skutki

Atakujący posiadający dostęp do Docker API może ominąć kontrolę dostępu realizowaną przez wtyczki AuthZ i wykonać nieautoryzowane operacje, potencjalnie uzyskując privilege escalation w środowisku kontenerowym.

Mitygacja

Należy zaktualizować docker-ce do wersji v27.1.1 lub zastosować patche dostępne dla gałęzi: master, 19.03, 20.0, 23.0, 24.0, 25.0, 26.0 oraz 26.1. Jeśli natychmiastowa aktualizacja nie jest możliwa, należy zaprzestać używania wtyczek AuthZ i/lub ograniczyć dostęp do Docker API wyłącznie do zaufanych podmiotów, zgodnie z zasadą najmniejszych uprawnień.

Kogo dotyczy

Docker Engine (projekt Moby) – wszystkie wersje gałęzi 19.03 (CE), 20.0, 23.0, 24.0, 25.0, 26.0 oraz 26.1, które nie otrzymały patchy. Docker EE v19.03.x oraz wszystkie wersje Mirantis Container Runtime nie są podatne.

Uwagi

Podatność jest regresją błędu odkrytego pierwotnie w 2018 roku i naprawionego w Docker Engine v18.09.1 w styczniu 2019 roku. Poprawka nie została przeniesiona do późniejszych głównych wersji, co spowodowało ponowne wystąpienie problemu. Podatność dotyczy wyłącznie środowisk korzystających z wtyczek AuthZ, które analizują treść (body) żądania lub odpowiedzi przy podejmowaniu decyzji o dostępie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
LPEContainer
CWE
Referencje
CVE-2024-41110 — Obejście wtyczek autoryzacji (AuthZ) w Docker Engine – privilege escalation — CRITICAL 9.9 | CVEbaza.pl