蓝点网
·
Docker发布安全更新修复存在长达5年的权限绕过漏洞 建议用户尽快升级
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
Docker发布安全更新修复权限绕过漏洞,影响多个版本。建议立即升级或禁止AuthZ插件并限制访问权限。
🎯
关键要点
-
Docker发布安全更新修复存在长达5年的权限绕过漏洞。
-
该漏洞影响多个版本的Docker Engine,攻击者可直接访问Docker实例。
-
漏洞编号为CVE-2024-41110,CVSS评分为10分。
-
攻击者可以通过特制API请求绕过授权插件,导致未经授权的权限提升风险。
-
受影响的Docker Engine版本包括v19.03.15、v20.10.27、v23.0.14等。
-
未使用身份验证插件的用户不受此漏洞影响。
-
Docker已发布v23.0.14和v27.1.0版本修复漏洞,Docker Desktop v4.32.0版也受影响,v4.33.0版即将发布修复。
-
建议短时间无法升级的用户禁止AuthZ身份验证插件并限制访问权限。
❓
延伸问答
Docker发布的安全更新修复了什么漏洞?
Docker发布的安全更新修复了一个长达5年的权限绕过漏洞,编号为CVE-2024-41110。
哪些Docker版本受到这个漏洞的影响?
受影响的Docker Engine版本包括v19.03.15、v20.10.27、v23.0.14等。
如果我无法立即升级Docker,应该怎么做?
建议禁止AuthZ身份验证插件并限制访问权限,仅允许受信任的用户访问Docker API。
这个漏洞的CVSS评分是多少?
该漏洞的CVSS评分为10分,属于高危安全漏洞。
Docker Desktop的哪个版本也受到此漏洞影响?
Docker Desktop v4.32.0版受到此漏洞影响,v4.33.0版即将发布修复。
攻击者如何利用这个漏洞?
攻击者可以通过特制API请求绕过授权插件,导致未经授权的权限提升风险。
🏷️
