更新时间:2024-08-17 GMT+08:00
Docker Engine授权插件AuthZ权限绕过漏洞公告(CVE-2024-41110)
Docker是一个开源的应用容器引擎,Docker Engine是Docker可移植的容器运行时,而Docker的AuthZ插件可用于控制和限制对Docker守护进程的API请求。
漏洞详情
|
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
|---|---|---|---|
|
权限提升 |
严重 |
2024-07-25 |
漏洞影响
受影响版本中,攻击者可以使用Content-Length设置为0的API请求绕过权限检查,导致Docker守护进程将没有正文的请求转发到AuthZ插件,进而导致未授权操作和权限提升。未使用AuthZ插件或运行旧版Docker Engine的用户不易受到影响。
当前CCE采用华为优化的Docker容器,未启用Docker的AuthZ插件,因此不会触发该漏洞。
判断方法
您可以在节点上执行命令查看Docker使用的插件。
容器引擎为Docker的节点,执行以下命令:
ps –elf | grep docker
显示如下:
其中没有设置--authorization-plugin参数,表明Docker未启用AuthZ插件,不会触发该漏洞。
漏洞修复方案
华为云CCE集群未启用docker的AuthZ插件,不会触发CVE-2024-41110漏洞。请勿自行启用--authorization-plugin参数,同时,CCE将在优化版Docker上全面修复该漏洞。
相关链接
Docker AuthZ插件:https://www.docker.com/blog/docker-security-advisory-docker-engine-authz-plugin
父主题: 漏洞公告
