Docker: Alte Sicherheitslücke zur Rechteausweitung wieder aufgetaucht
Eine Schwachstelle in den Autorisierung-Plug-ins hatte Docker 2019 geschlossen. Sie ist aber kurz danach als Regression wieder in die Engine eingeflossen.
(Bild: iX/mit KI)
Docker warnt vor einer Sicherheitslücke, die zahlreiche Varianten der Docker Engine betrifft. Sie ermöglicht Angreifern, Autorisierungs-Plug-ins zu umgehen und so eine Rechteausweitung (Privilege Escalation) zu erreichen.
Betroffen sind alle Versionen von Docker 19.03.15 bis Version 27.1.0. Für Releases ab Docker v23.0.14 stehen Patches bereit, die die Sicherheitslücke schließen.
Rechteausweitung im Autorisierungs-Plug-in
Die Autorisierungs-Plug-ins von Docker sollen für eine granulare Rechtevergabe sorgen, da Docker von Haus aus keine Einschränkungen kennt und Usern mit Zugriffsrechten auf den Docker Daemon erlaubt, beliebige Docker-Befehle auszuführen.
Hier kommen die Plug-ins zum Tragen: Das Subsystem für die Authentifizierung (AuthN) und Autorisierung (AuthZ) von Docker kann die Daten zu dem User und dem auszuführenden Befehl an zugehörige AuthZPlugins übergeben, die entscheiden, ob sie die Befehlsausführung erlauben.
Alte Schwachstelle war bald wieder an Bord
Version 18.0.9 hatte 2019 eine Schwachstelle geschlossen, die offenbar wegen mangelnder Überprüfung der Inhalte eine Privilege Escalation über die Plug-ins ermöglichte. Mit dem Sprung auf die nächste Hauptversion ist die Sicherheitslücke jedoch erneut in der Docker Engine gelandet. Die Regression tritt seit Version 19.03 der Engine wieder auf.
Nachdem das Wiederauftreten der Lücke im April 2024 erkannt wurde, hat Docker am 23. Juli Patches für die Releases seit 23.0.14 veröffentlicht.
In der Mitre-Datenbank steht für die Regression der CVE-Eintrag (Common Vulnerabilities and Exposures) CVE-2024-41110, der allerdings lediglich als reserviert gekennzeichnet ist.
Jetzt patchen und bei Docker Desktop warten
Wer eine der betroffenen Versionen verwendet, sollte jetzt patchen oder auf AuthZ-Plug-ins verzichten. Wer diese nicht verwendet, ist nicht betroffen.
Docker Desktop enthält die Schwachstelle ebenfalls, aber das Risiko ist laut Docker vergleichsweise gering, da Angreifer Zugriff auf die Workstation mit der Software benötigen und die Rechteausweitung auf die Docker Desktop VM begrenzt ist. Außerdem enthält Docker Desktop standardmäßig keine AuthZ-Plug-ins. Sie müssen manuell nachinstalliert werden.
Das kommende Release Docker Desktop 4.33 wird eine gepatchte Version der Docker Engine ohne die Schwachstelle enthalten. Weitere Details lassen sich dem Docker-Blog entnehmen.
(rme)