文档首页/ 云容器引擎 CCE/ 服务公告/ 漏洞公告/ Docker Engine授权插件AuthZ权限绕过漏洞公告(CVE-2024-41110)
更新时间:2024-07-31 GMT+08:00
分享

Docker Engine授权插件AuthZ权限绕过漏洞公告(CVE-2024-41110)

Docker是一个开源的应用容器引擎,Docker Engine是Docker可移植的容器运行时,而Docker的AuthZ插件可用于控制和限制对Docker守护进程的API请求。

漏洞详情

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

权限提升

CVE-2024-41110

严重

2024-07-25

漏洞影响

受影响版本中,攻击者可以使用Content-Length设置为0的API请求绕过权限检查,导致Docker守护进程将没有正文的请求转发到AuthZ插件,进而导致未授权操作和权限提升。未使用AuthZ插件或运行旧版Docker Engine的用户不易受到影响。

当前CCE采用华为优化的Docker容器,未启用Docker的AuthZ插件,因此不会触发该漏洞。

判断方法

您可以在节点上执行命令查看Docker使用的插件。

容器引擎为Docker的节点,执行以下命令:

ps –elf | grep docker

显示如下:

其中没有设置--authorization-plugin参数,表明Docker未启用AuthZ插件,不会触发该漏洞。

漏洞修复方案

华为云CCE集群未启用docker的AuthZ插件,不会触发CVE-2024-41110漏洞。请勿自行启用--authorization-plugin参数,同时,CCE将在优化版Docker上全面修复该漏洞。

相关文档