22 novembre 2024

Krusell France

Ta dose d'actu digital !

CVE-2024-41110 : faille critique corrigée dans Docker, quelle solution ?

4 mois ago Julien Castex
Docker Engine CVE-2024-41110
Rate this post

Une faille de sécurité importante a été récemment corrigée dans Docker, avec un impact potentiel sur les plugins d’autorisation AuthZ. Découvrons les détails.

Sommaire masquer
1 La faille de sécurité dans Docker
2 CVE-2024-41110 : versions affectées et recommandations
3 Actualités similaires :

La faille de sécurité dans Docker

Cette vulnérabilité, identifiée sous la référence CVE-2024-41110 et dotée d’un score CVSS de 10 sur 10, est en réalité une réapparition d’une ancienne faille. Initialement découverte et corrigée en janvier 2019 dans Docker Engine v18.09.1, le correctif n’a pas été implémenté dans les versions suivantes, laissant cette vulnérabilité non corrigée depuis plus de 5 ans.

Découverte en avril 2024, la nouvelle correction a été intégrée dans les dernières versions de Docker publiées le 23 juillet 2024.

Cette vulnérabilité permet une élévation de privilèges en contournant les contrôles AuthZ par le biais d’une requête spéciale sur l’API Docker. Selon Docker, un attaquant peut exploiter ce contournement en utilisant une requête API avec Content-Length défini à 0, ce qui induit le démon Docker à transmettre la requête sans corps au plugin AuthZ, qui pourrait approuver la requête de manière incorrecte.

CVE-2024-41110 : versions affectées et recommandations

La faille CVE-2024-41110 affecte un large éventail de versions de Docker Engine, notamment celles inférieures ou égales à 19.03.15, 20.10.27, 23.0.14, 24.0.9, 25.0.5, 26.0.2, 26.1.4, 27.0.3 et 27.1.0. Pour se protéger, il est recommandé d’utiliser une version de Docker Engine égale ou supérieure à v23.0.14 et v27.1.0.

Les utilisateurs de Docker Engine v19.03.x et versions ultérieures n’utilisant pas de plugins d’autorisation pour les décisions de contrôle d’accès ne sont pas vulnérables. De même, les utilisateurs de Mirantis Container Runtime ne sont pas affectés.

Pour Docker Desktop, toutes les versions antérieures à 4.32.0 intègrent une version vulnérable de Docker Engine. Un correctif sera disponible dans la version 4.33 de Docker Desktop. Néanmoins, Docker Desktop est moins exposé que les environnements de production, en partie car il ne configure pas par défaut les plugins AuthZ.

Si la mise à jour n’est pas possible, Docker recommande de sécuriser l’accès à l’API en n’autorisant que les hôtes de confiance, en appliquant le principe du moindre privilège.

Source

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Faille de sécurité critique corrigée dans OpenSSH : comment se protéger ?
  2. Faille critique corrigée dans Cisco Smart Software Manager On-Prem – Protégez-vous maintenant
  3. Mise à jour critique pour les routeurs ASUS : faille de sécurité corrigée
  4. Alerte sécurité : Faille critique dans le pilote Wi-Fi de Windows !
  5. Faille critique dans Veeam Backup : comment se protéger des attaques potentielles
  6. Découvrez l’exploit PoC pour une faille de sécurité critique dans Veeam Backup Enterprise Manager
Tags:

Plus d'actu

Sécurité Linux - Ubuntu - Vulnérabilités dans needrestart depuis 10 ans

5 failles de sécurité critiques découvertes dans needrestart sur Ubuntu 21.04 : Comment vous protéger ?

19 heures ago Julien Castex
Active Directory - Réinitialisation du mot de passe en libre-service avec Specops uReset

Optimisez la réinitialisation de mot de passe pour vos utilisateurs – Guide complet

21 heures ago Julien Castex
AI Shell - Nouveau Shell de Microsoft

Découvrez AI Shell : le nouveau shell interactif d’interactions avec les IA sur Windows et macOS

23 heures ago Julien Castex

Vous avez peut-être manqué

Samsung One UI 7 rollout timeline leaks

One UI 7: Date de sortie de la version bêta pour smartphones Samsung révélée

2 heures ago Romain Barry
Tom

Les meilleures clés USB au plus bas prix

2 heures ago Romain Barry
ChatGPT-Parent OpenAI Considers Building Its Own Web Browser To Challenge Google's Search Monopoly, Following DOJ Push To Break Up Chrome Dominance - Alphabet (NASDAQ:GOOG), Apple (NASDAQ:AAPL)

OpenAI envisage de défier Google avec un navigateur web intégrant son chatbot

3 heures ago Mia Dufresne
Apple still dominates US smartphone market

Apple maintient sa domination sur le marché des smartphones aux États-Unis, révèle le dernier rapport de part de marché de Counterpoint Research.

7 heures ago Romain Barry