Personnaliser les préférences en matière de consentement

Nous utilisons des cookies pour vous aider à naviguer efficacement et à exécuter certaines fonctions. Vous trouverez des informations détaillées sur tous les cookies sous chaque catégorie de consentement ci-dessous.

Les cookies qui sont catégorisés comme "Nécessaires" sont stockés sur votre navigateur car ils sont essentiels pour permettre les fonctionnalités de base du site.

Nous utilisons également des cookies tiers qui nous aident à analyser la façon dont vous utilisez ce site, à stocker vos préférences et à fournir le contenu et les publicités qui vous sont pertinents. Ces cookies ne seront stockés dans votre navigateur qu'avec votre consentement préalable.

Vous pouvez choisir d'activer ou de désactiver tout ou partie de ces cookies, mais la désactivation de certains d'entre eux peut affecter votre expérience de navigation.

Toujours actif

Necessary cookies are required to enable the basic features of this site, such as providing secure log-in or adjusting your consent preferences. These cookies do not store any personally identifiable data.

Functional cookies help perform certain functionalities like sharing the content of the website on social media platforms, collecting feedback, and other third-party features.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics such as the number of visitors, bounce rate, traffic source, etc.

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

Advertisement cookies are used to provide visitors with customized advertisements based on the pages you visited previously and to analyze the effectiveness of the ad campaigns.

8 mai 2025

Krusell France

Ta dose d'actu digital !

CVE-2024-41110 : faille critique corrigée dans Docker, quelle solution ?

Docker Engine CVE-2024-41110
Rate this post

Une faille de sécurité importante a été récemment corrigée dans Docker, avec un impact potentiel sur les plugins d’autorisation AuthZ. Découvrons les détails.

La faille de sécurité dans Docker

Cette vulnérabilité, identifiée sous la référence CVE-2024-41110 et dotée d’un score CVSS de 10 sur 10, est en réalité une réapparition d’une ancienne faille. Initialement découverte et corrigée en janvier 2019 dans Docker Engine v18.09.1, le correctif n’a pas été implémenté dans les versions suivantes, laissant cette vulnérabilité non corrigée depuis plus de 5 ans.

Découverte en avril 2024, la nouvelle correction a été intégrée dans les dernières versions de Docker publiées le 23 juillet 2024.

Cette vulnérabilité permet une élévation de privilèges en contournant les contrôles AuthZ par le biais d’une requête spéciale sur l’API Docker. Selon Docker, un attaquant peut exploiter ce contournement en utilisant une requête API avec Content-Length défini à 0, ce qui induit le démon Docker à transmettre la requête sans corps au plugin AuthZ, qui pourrait approuver la requête de manière incorrecte.

CVE-2024-41110 : versions affectées et recommandations

La faille CVE-2024-41110 affecte un large éventail de versions de Docker Engine, notamment celles inférieures ou égales à 19.03.15, 20.10.27, 23.0.14, 24.0.9, 25.0.5, 26.0.2, 26.1.4, 27.0.3 et 27.1.0. Pour se protéger, il est recommandé d’utiliser une version de Docker Engine égale ou supérieure à v23.0.14 et v27.1.0.

Les utilisateurs de Docker Engine v19.03.x et versions ultérieures n’utilisant pas de plugins d’autorisation pour les décisions de contrôle d’accès ne sont pas vulnérables. De même, les utilisateurs de Mirantis Container Runtime ne sont pas affectés.

Pour Docker Desktop, toutes les versions antérieures à 4.32.0 intègrent une version vulnérable de Docker Engine. Un correctif sera disponible dans la version 4.33 de Docker Desktop. Néanmoins, Docker Desktop est moins exposé que les environnements de production, en partie car il ne configure pas par défaut les plugins AuthZ.

Si la mise à jour n’est pas possible, Docker recommande de sécuriser l’accès à l’API en n’autorisant que les hôtes de confiance, en appliquant le principe du moindre privilège.

Source

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications