Docker が重大な認証バイパスの脆弱性を修正(CVE-2024-41110)
2024年7月25日 Docker(ドッカ―) は、特定のバージョンの Docker Engine に影響する重大な脆弱性に対処するためのセキュリティ アップデートを実行しました。この脆弱性により、特定の状況下で攻撃者が認証プラグイン (AuthZ) をバイパスできる可能性があります(CVE-2024-41110)
脆弱性(CVE-2024-41110)の概要
特別に作成されたAPIリクエストを使用することで、Engine APIクライアントは、本文なしでリクエストまたはレスポンスを認証プラグインに転送させる可能性があります。 特定の状況下では、認証プラグインは、本文が転送されていた場合に拒否するリクエストを許可する場合があります。
2018年に、特別に作成されたAPIリクエストを使用して攻撃者がAuthzプラグインをバイパスできるセキュリティ問題が発見されました。 これにより、権限昇格を含む不正な操作が可能になります。
この問題は2019年1月にDocker Engine v18.09.1で修正されましたが、修正が後のメジャーバージョンに反映されなかったため、回帰が発生しました。 リクエストまたはレスポンスの本文を検査してアクセス制御の決定を行う認証プラグインに依存しているユーザーは、影響を受ける可能性があります。
Docker EE v19.03.xおよびMirantis Container Runtimeのすべてのバージ
脆弱性(CVE-2024-41110)の影響バージョン
アクセス制御に認証プラグインを使用するユーザーの Docker Engine バージョンは
v19.03.15、v20.10.27、v23.0.14、v24.0.9、v25.0.5、v26.0.2、v26.1.4、v27.0.3、v27.1.0 までに影響します。
パッチリリース済み
速やかにバージョン v23.0.14 および v27.1.0 に移行することをお勧めします。