Alert!

Docker: Alte SicherheitslĂĽcke zur Rechteausweitung wieder aufgetaucht

Eine Schwachstelle in den Autorisierung-Plug-ins hatte Docker 2019 geschlossen. Sie ist aber kurz danach als Regression wieder in die Engine eingeflossen.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Stilisiertes Bild Mann vor Container mit Server

(Bild: iX/mit KI)

Lesezeit: 2 Min.
Inhaltsverzeichnis

Docker warnt vor einer Sicherheitslücke, die zahlreiche Varianten der Docker Engine betrifft. Sie ermöglicht Angreifern, Autorisierungs-Plug-ins zu umgehen und so eine Rechteausweitung (Privilege Escalation) zu erreichen.

Betroffen sind alle Versionen von Docker 19.03.15 bis Version 27.1.0. FĂĽr Releases ab Docker v23.0.14 stehen Patches bereit, die die SicherheitslĂĽcke schlieĂźen.

Die Autorisierungs-Plug-ins von Docker sollen für eine granulare Rechtevergabe sorgen, da Docker von Haus aus keine Einschränkungen kennt und Usern mit Zugriffsrechten auf den Docker Daemon erlaubt, beliebige Docker-Befehle auszuführen.

Hier kommen die Plug-ins zum Tragen: Das Subsystem für die Authentifizierung (AuthN) und Autorisierung (AuthZ) von Docker kann die Daten zu dem User und dem auszuführenden Befehl an zugehörige AuthZPlugins übergeben, die entscheiden, ob sie die Befehlsausführung erlauben.

Version 18.0.9 hatte 2019 eine Schwachstelle geschlossen, die offenbar wegen mangelnder Überprüfung der Inhalte eine Privilege Escalation über die Plug-ins ermöglichte. Mit dem Sprung auf die nächste Hauptversion ist die Sicherheitslücke jedoch erneut in der Docker Engine gelandet. Die Regression tritt seit Version 19.03 der Engine wieder auf.

Nachdem das Wiederauftreten der Lücke im April 2024 erkannt wurde, hat Docker am 23. Juli Patches für die Releases seit 23.0.14 veröffentlicht.

In der Mitre-Datenbank steht fĂĽr die Regression der CVE-Eintrag (Common Vulnerabilities and Exposures) CVE-2024-41110, der allerdings lediglich als reserviert gekennzeichnet ist.

Wer eine der betroffenen Versionen verwendet, sollte jetzt patchen oder auf AuthZ-Plug-ins verzichten. Wer diese nicht verwendet, ist nicht betroffen.

Docker Desktop enthält die Schwachstelle ebenfalls, aber das Risiko ist laut Docker vergleichsweise gering, da Angreifer Zugriff auf die Workstation mit der Software benötigen und die Rechteausweitung auf die Docker Desktop VM begrenzt ist. Außerdem enthält Docker Desktop standardmäßig keine AuthZ-Plug-ins. Sie müssen manuell nachinstalliert werden.

Das kommende Release Docker Desktop 4.33 wird eine gepatchte Version der Docker Engine ohne die Schwachstelle enthalten. Weitere Details lassen sich dem Docker-Blog entnehmen.

(rme)