यह महसूस करने के बाद कि लगभग अधिकतम गंभीरता की भेद्यता पांच साल तक बनी रहती है, डॉकर उपयोगकर्ताओं को अपने डॉकर इंजन को पैच मोड में डालने की चेतावनी दे रहा है।
अब CVE-2024-41110 के रूप में पहचाना गया, विशेषाधिकार वृद्धि बग मूल रूप से 2018 में खोजा गया था और जनवरी 2019 संस्करण 18.09.1 में ठीक किया गया था, हालांकि, फिक्स को बाद के अपडेट में नहीं ले जाया गया, जिसका अर्थ है कि 19.03 और नए संस्करण असुरक्षित बने हुए हैं।
बेहतर पहुंच नियंत्रण के लिए डॉकर द्वारा प्राधिकरण प्लगइन्स (AuthZ) के उपयोग में भेद्यता निहित है। उनका उपयोग अनुरोधों को स्वीकृत और अस्वीकार करने के लिए किया जाता है, और ऐसा शरीर में उन्हें प्रदान की गई जानकारी के माध्यम से किया जाता है, जिसका मूल्यांकन सत्यापन निर्णय लेने के लिए किया जाता है।
हमलावर मुख्य सामग्री की लंबाई 0 पर सेट करके विशेष रूप से तैयार की गई एपीआई अनुरोध भेजकर भेद्यता का फायदा उठा सकते हैं। बिना किसी निकाय के, ऑथज़ प्लगइन को कोई भी जानकारी प्राप्त नहीं होती है जिसका उपयोग प्राधिकरण अनुरोध को सूचित करने के लिए किया जा सकता है।
बिना बॉडी के अनुरोध भेजकर, एक हमलावर डॉकर इंजन एपीआई क्लाइंट को इस अनुरोध को एक प्राधिकरण प्लगइन पर अग्रेषित करने के लिए मजबूर कर सकता है, जो गलती से एक अनुरोध को मंजूरी दे सकता है जिसे अस्वीकार कर दिया गया होता यदि बॉडी की सामग्री उसे पास कर दी गई होती।
इससे अनपेक्षित आदेशों का निष्पादन हो सकता है जिसके परिणामस्वरूप हमलावरों के विशेषाधिकार में वृद्धि जैसे परिणाम हो सकते हैं।
डॉकर का कहना है कि इस हमले का फायदा उठाए जाने की संभावना कम है, लेकिन भेद्यता का सीवीएसएस मूल्यांकन इंगित करता है कि यह एक कम-जटिलता वाला हमला है जिसके लिए निम्न-स्तरीय विशेषाधिकारों और किसी उपयोगकर्ता सहभागिता की आवश्यकता नहीं है।
गोपनीयता, अखंडता और उपलब्धता पर संभावित प्रभाव “उच्च” है, और साथ में इसने 9.9 के समग्र गंभीरता स्कोर में योगदान दिया, के अनुसार राष्ट्रीय भेद्यता डेटाबेस. एक विभक्त परामर्शी खुला स्त्रोत मोबी प्रोजेक्ट हालाँकि, मुझे लगा कि यह 10 का आदर्श स्कोर था।
डाक में काम करनेवाला मज़दूर उपयोगकर्ताओं को सुरक्षित संस्करणों में अपग्रेड करने की अनुशंसा करता है: > v23.0.14 और > v27.1.0।
यदि आप एक प्रभावित संस्करण चला रहे हैं, लेकिन प्राधिकरण प्लगइन्स पर भरोसा नहीं करते हैं, तो आप CVE-2024-41110 के प्रति असुरक्षित नहीं हैं, और न ही मिरांटिस कंटेनर रनटाइम उपयोगकर्ता हैं।
डॉकर डेस्कटॉप का उपयोग करने वालों के लिए, संस्करण 4.33 में एक सुधार आ रहा है, लेकिन प्रभाव को उत्पादन वातावरण की तुलना में कम गंभीर माना जाता है, डॉकर कहा.
डॉकर एपीआई तक पहुंचने के लिए, जो एक शोषण के लिए महत्वपूर्ण है, हमलावर के पास पहले से ही मशीन तक स्थानीय पहुंच होनी चाहिए या टीसीपी के माध्यम से डॉकर डेमॉन को उजागर करना होगा। हालाँकि डॉकर इंजन के कमजोर संस्करण डॉकर डेस्कटॉप के नवीनतम संस्करण में मौजूद हैं, लेकिन डिफ़ॉल्ट डेस्कटॉप कॉन्फ़िगरेशन AuthZ प्लगइन्स पर निर्भर नहीं है।
भले ही उपरोक्त स्थितियाँ किसी हमलावर के पक्ष में काम करती हों, विशेषाधिकार वृद्धि भी डॉकर डेस्कटॉप वीएम तक ही सीमित होगी, न कि होस्ट तक। ®
