Docker ha emitido un aviso de seguridad por una vulnerabilidad crítica, CVE-2024-41110, que afecta a ciertas versiones de Docker Engine y Docker Desktop.
- CVE-2024-41110 (CVSS 10): La vulnerabilidad permite a los atacantes eludir los complementos de autorización (AuthZ) en circunstancias específicas, lo que puede dar lugar a acciones no autorizadas, incluyendo la escalada de privilegios. Si bien la probabilidad de explotación es baja, el impacto podría ser significativo, lo que requiere la atención inmediata de los usuarios de Docker.
Los complementos de AuthZ están diseñados para aplicar controles de acceso granulares dentro del entorno de Docker Engine. Sin embargo, la regresión permite a los atacantes crear solicitudes de API que eludan estas comprobaciones, lo que podría otorgarles permisos no autorizados. La explotación requiere acceso a la API de Docker, lo que normalmente requiere acceso local a la máquina a menos que el daemon esté configurado de forma insegura.
Productos y versiones afectadas:
- Docker Engine: afecta a las versiones 19.03.x y posteriores, específicamente a aquellas configuradas para utilizar complementos de AuthZ. Los usuarios que no utilicen complementos de AuthZ o que ejecuten versiones anteriores de Docker Engine no son susceptibles.
- Docker Desktop: Versiones anteriores a la 4.33.
Solución:
- Docker Engine: versión 27.1.1 o superior.
- Docker Desktop: versión 4.33 o superior.
Recomendaciones:
- Actualizar Docker Engine y Docker Desktop a la última versión corregida lo antes posible para mitigar los riesgos potenciales.
- Deshabilitar temporalmente los complementos de AuthZ y restringir el acceso a la API de Docker si no es posible realizar una actualización de forma inmediata.
Referencias: