Kritischer Fehler in der Docker-Engine entdeckt
Docker warnt vor einer kritischen Sicherheitslücke in bestimmten Versionen von Docker Engine, die es Angreifern ermöglichen könnte, Autorisierungs-Plugins (AuthZ) unter bestimmten Umständen zu umgehen. Betroffen sind auch Docker Desktop bis Version 4.32.0, wobei ein Fix in der kommenden Version 4.33 erwartet wird.
Die Schwachstelle, CVE-2024-41110, hat einen CVSS-Wert von 10.0 und gilt somit als extrem schwerwiegend. „Ein Angreifer könnte eine API-Anfrage mit Content-Length 0 nutzen, damit der Docker-Daemon die Anfrage ohne Inhalt an das AuthZ-Plugin weiterleitet. Dort wird die Anfrage dann unter bestimmten Umständen fälschlicherweise genehmigt,“ erklärten die Moby Project-Maintainer in einer Mitteilung.
Docker erklärte, dass es sich um eine Regression handelt. Der Fehler wurde ursprünglich 2018 entdeckt und im Januar 2019 in Docker Engine v18.09.1 behoben. Leider wurde der Fix in den nachfolgenden Versionen (ab 19.03) nicht übernommen.
Das Problem wurde am 23. Juli 2024 in den Versionen 23.0.14 und 27.1.0 behoben, nachdem es im April 2024 identifiziert wurde. Betroffen sind die folgenden Versionen von Docker Engine, sofern AuthZ für Zugriffskontrollentscheidungen verwendet wird:
- <= v19.03.15
- <= v20.10.27
- <= v23.0.14
- <= v24.0.9
- <= v25.0.5
- <= v26.0.2
- <= v26.1.4
- <= v27.0.3 und
- <= v27.1.0
„Benutzer von Docker Engine v19.03.x und späteren Versionen, die nicht auf Autorisierungs-Plugins zur Zugriffskontrolle angewiesen sind, sowie Benutzer aller Versionen von Mirantis Container Runtime sind nicht verwundbar,“ so Docker-Sprecherin Gabriela Georgieva. „Benutzer von kommerziellen Docker-Produkten und interner Infrastruktur, die keine AuthZ-Plugins verwenden, sind ebenfalls nicht betroffen.“
Die Schwachstelle betrifft auch Docker Desktop bis Version 4.32.0, wobei die Ausnutzungswahrscheinlichkeit gering ist, da dafür lokaler Zugang zum Host nötig ist. Ein Fix ist in Version 4.33 geplant. „Die Standardkonfiguration von Docker Desktop enthält keine AuthZ-Plugins,“ so Georgieva. „Die Eskalation beschränkt sich auf die Docker Desktop-VM, nicht auf den Host.“ Auch wenn Docker keine Hinweise auf eine Ausnutzung der CVE-2024-41110-Schwachstelle hat, sollten Nutzer auf die neueste Version aktualisieren, um Bedrohungen zu vermeiden.
Bereits Anfang des Jahres hat Docker eine Reihe von Schwachstellen, bekannt als Leaky Vessels, behoben. Diese könnten einem Angreifer ermöglichen, unbefugten Zugriff auf das Host-Dateisystem zu erlangen und aus dem Container auszubrechen. „Mit der zunehmenden Beliebtheit von Cloud-Diensten steigt auch die Nutzung von Containern, die ein integraler Bestandteil der Cloud-Infrastruktur geworden sind,“ so Palo Alto Networks Unit 42 in einem Bericht letzte Woche. „Obwohl Container viele Vorteile bieten, sind sie auch anfällig für Angriffstechniken wie Container-Escapes. Da sie denselben Kernel teilen und oft keine vollständige Isolation vom User-Mode des Hosts haben, sind Container anfällig für verschiedene Techniken, die Angreifer nutzen, um die Begrenzungen einer Containerumgebung zu überwinden.“