Gravedad: Alta
Fecha de publicación: julio 25, 2024
Última revisión: julio 25, 2024
Sitio web: https://www.docker.com/
Sistemas Afectados:
Ciertas versiones de Docker Engine
· versión 19.03.15
· versión 20.10.27
· versión 23.0.14
· versión 24.0.9
· versión 25.0.5
· versión 26.0.2
· versión 26.1.4
· versión 27.0.3
· versión 27.1.0
Descripción
Algunas versiones de Docker Engine tienen una vulnerabilidad de seguridad que podría permitir a un atacante eludir los complementos de autorización (AuthZ) en determinadas circunstancias.
Se identificó en abril de 2024 y se publicaron parches para las versiones afectadas el 23 de julio de 2024. El problema se asignó como CVE-2024-41110 .
Impacto
CVE-2024-41110:
Omisión de AuthZ y escalada de privilegios: Un atacante podría explotar esta vulnerabilidad enviando una solicitud de API con el campo Content-Length establecido en 0. Esto haría que el demonio Docker reenvíe la solicitud sin el cuerpo al complemento AuthZ, lo que podría resultar en la aprobación incorrecta de la solicitud.
Referencia a soluciones, herramientas e información
Actualizar el motor Docker, si está ejecutando una versión afectada, actualícela a la versión parcheada más reciente.
- Docker Engine: versión 27.1.1 o superior.
- Docker Desktop: versión 4.33 o superior.
Asegúrese de que no se utilicen complementos de AuthZ y no expongan la API de Docker a través de TCP sin protección.
Fuentes:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-41110
- https://www.docker.com/blog/docker-security-advisory-docker-engine-authz-plugin/
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124