Data di creazione: 26/07/2024 – 12:26

Sintesi

Rilasciati aggiornamenti di sicurezza che risolvono una vulnerabilità con gravità “critica” nel plugin Authz di Moby, progetto open source per la creazione di piattaforme container personalizzate di Docker. Tale vulnerabilità potrebbe permettere il bypass dei meccanismi di autorizzazione tramite richieste API opportunamente predisposte.

Note (aggiornamento del 30/07/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.

Tipologia

• Security Restrictions Bypass

Prodotti e/o versioni affette

Docker Engine

• 19.x, versioni precedenti alla 19.03.15 (inclusa)
• 20.x, versioni precedenti alla 20.10.27 (inclusa)
• 23.x, versioni precedenti alla 23.0.14 (inclusa)
• 24.x, versioni precedenti alla 24.0.9 (inclusa)
• 25.x, versioni precedenti alla 25.0.5 (inclusa)
• 26.0.x, versioni precedenti alla 26.0.2 (inclusa)
• 26.1.x, versioni precedenti alla 26.1.4 (inclusa)
• 27.0.x, versioni precedenti alla 27.0.3 (inclusa)
• 27.1.x, versioni precedenti alla 27.1.0 (inclusa)

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare Docker alla versione più recente disponibile.

Identificatori univoci vulnerabilità

CVE-2024-41110

Riferimenti

https://www.docker.com/blog/docker-security-advisory-docker-engine-authz-plugin/

https://github.com/moby/moby/security/advisories/GHSA-v23v-6jw2-98fq

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.