CVE-2024-41110

Nome do software vulnerável e versões afetadas:

Versões do Docker Engine anteriores à v27.1.1

Versões do Docker Engine 19.03 e posteriores, excluindo a v19.03.x

Versões do Docker CE anteriores à v27.1.1

Descrição:

Foi detectada uma vulnerabilidade de segurança em determinadas versões do Docker Engine, que poderia permitir que um invasor contornasse os plug-ins de autorização (AuthZ) em circunstâncias específicas. A probabilidade básica de que isso seja explorado é baixa. Usando uma solicitação de API especialmente criada, um cliente da API do Engine poderia fazer com que o daemon encaminhasse a solicitação ou resposta a um plug-in de autorização sem o corpo. Em determinadas circunstâncias, o plug-in de autorização pode permitir uma solicitação que, de outra forma, teria sido negada se o corpo tivesse sido encaminhado a ele. Um problema de segurança foi descoberto em 2018, no qual um invasor poderia contornar os plug-ins AuthZ usando uma solicitação de API especialmente criada. Isso poderia levar a ações não autorizadas, incluindo escalonamento de privilégios. Embora essa falha tenha sido corrigida no Docker Engine v18.09.1 em janeiro de 2019, a correção não foi incorporada às versões principais posteriores, resultando em uma regressão.

Recomendações:

Para versões do Docker Engine anteriores à v27.1.1, atualize para a versão v27.1.1 ou posterior para corrigir a vulnerabilidade.

Para versões do Docker Engine 19.03 e posteriores, excluindo a v19.03.x, atualize para uma versão que inclua os patches incorporados, como os ramos de lançamento master, 19.03, 20.0, 23.0, 24.0, 25.0, 26.0 ou 26.1.

Se não for possível atualizar imediatamente, evite usar plug-ins AuthZ e/ou rest