Container angreifbar: Docker muss kritische Schwachstelle von 2019 erneut patchen
In der weitverbreiteten Containervirtualisierungslösung Docker klafft eine kritische Sicherheitslücke, die eigentlich schon im Januar 2019 gepatcht wurde, in späteren Versionen aber wieder aufgetaucht ist. Wie aus einem Sicherheitshinweis von Docker(öffnet im neuen Fenster) hervorgeht, ist es Angreifern damit möglich, Autorisierungsplugins (AuthZ) zu umgehen, die häufig für eine bessere Zugriffskontrolle eingesetzt werden.
Aufgabe der genannten Plugins ist es, auf Grundlage der Authentifizierung und des jeweiligen Befehlskontextes Anfragen an den Docker-Daemon zu genehmigen oder zu verweigern. Aufgrund einer schon im Jahr 2018 entdeckten und im Januar 2019 mit Version 18.09.1(öffnet im neuen Fenster) der Docker Engine gepatchten Sicherheitslücke können Angreifer die AuthZ-Plugins jedoch mit einer speziell gestalteten API-Anfrage umgehen.
Die Content-Length dieses API-Requests muss dafür laut Docker lediglich auf 0 gesetzt werden. Dies veranlasse den Docker-Daemon dazu, die leere Anforderung an das AuthZ-Plugin weiterzuleiten, was möglicherweise eine falsche Genehmigung und damit eine Rechteausweitung zur Folge habe. Die besagte Schwachstelle ist als CVE-2024-41110(öffnet im neuen Fenster) registriert und weist mit einem CVSS-Wert von 9,9 einen kritischen Schweregrad auf.
Docker Engine seit fünf Jahren angreifbar
Der Docker-Mitteilung zufolge haben die Entwickler es versäumt, den im Januar 2019 bereitgestellten Patch in spätere Docker-Releases aufzunehmen. Alle Docker-Engine-Versionen ab 19.03 ( veröffentlicht im Juli 2019(öffnet im neuen Fenster) ) waren daher wieder angreifbar. Erst mit den jüngst veröffentlichten Versionen 27.1.0 und 23.0.14 stellte Docker den Patch wieder bereit.
Auch Docker Desktop ist bis einschließlich zur aktuellen Version(öffnet im neuen Fenster) 4.32.0 betroffen, wenngleich der Anbieter betont, dass die Auswirkungen der Sicherheitslücke in diesem Fall begrenzt sind. Für eine erfolgreiche Ausnutzung via Docker Desktop muss der Docker-Daemon demnach "unsicher über TCP zugänglich" sein oder der Angreifer bereits einen lokalen Zugriff auf das Zielsystem haben.
Docker Desktop erhält den Patch gegen CVE-2024-41110 mit der noch nicht veröffentlichten Version 4.33. Anwendern, die Docker Desktop oder die Docker Engine in Verbindung mit Autorisierungsplugins verwenden, wird empfohlen, die Software möglichst zeitnah zu aktualisieren und den Zugriff auf die Docker-API angemessen abzusichern. In jenen Fällen, wo ein Update noch nicht möglich ist, empfiehlt Docker, den Einsatz von AuthZ-Plugins vorerst zu meiden.
- Anzeige Hier geht es zu Docker: Das Praxisbuch für Entwickler und DevOps-Teams bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.