8 novembre 2024

Krusell France

Ta dose d'actu digital !

CVE-2024-41110 : faille critique corrigée dans Docker, quelle solution ?

4 mois ago Julien Castex
Docker Engine CVE-2024-41110
Rate this post

Une faille de sécurité importante a été récemment corrigée dans Docker, avec un impact potentiel sur les plugins d’autorisation AuthZ. Découvrons les détails.

Sommaire masquer
1 La faille de sécurité dans Docker
2 CVE-2024-41110 : versions affectées et recommandations
3 Actualités similaires :

La faille de sécurité dans Docker

Cette vulnérabilité, identifiée sous la référence CVE-2024-41110 et dotée d’un score CVSS de 10 sur 10, est en réalité une réapparition d’une ancienne faille. Initialement découverte et corrigée en janvier 2019 dans Docker Engine v18.09.1, le correctif n’a pas été implémenté dans les versions suivantes, laissant cette vulnérabilité non corrigée depuis plus de 5 ans.

Découverte en avril 2024, la nouvelle correction a été intégrée dans les dernières versions de Docker publiées le 23 juillet 2024.

Cette vulnérabilité permet une élévation de privilèges en contournant les contrôles AuthZ par le biais d’une requête spéciale sur l’API Docker. Selon Docker, un attaquant peut exploiter ce contournement en utilisant une requête API avec Content-Length défini à 0, ce qui induit le démon Docker à transmettre la requête sans corps au plugin AuthZ, qui pourrait approuver la requête de manière incorrecte.

CVE-2024-41110 : versions affectées et recommandations

La faille CVE-2024-41110 affecte un large éventail de versions de Docker Engine, notamment celles inférieures ou égales à 19.03.15, 20.10.27, 23.0.14, 24.0.9, 25.0.5, 26.0.2, 26.1.4, 27.0.3 et 27.1.0. Pour se protéger, il est recommandé d’utiliser une version de Docker Engine égale ou supérieure à v23.0.14 et v27.1.0.

Les utilisateurs de Docker Engine v19.03.x et versions ultérieures n’utilisant pas de plugins d’autorisation pour les décisions de contrôle d’accès ne sont pas vulnérables. De même, les utilisateurs de Mirantis Container Runtime ne sont pas affectés.

Pour Docker Desktop, toutes les versions antérieures à 4.32.0 intègrent une version vulnérable de Docker Engine. Un correctif sera disponible dans la version 4.33 de Docker Desktop. Néanmoins, Docker Desktop est moins exposé que les environnements de production, en partie car il ne configure pas par défaut les plugins AuthZ.

Si la mise à jour n’est pas possible, Docker recommande de sécuriser l’accès à l’API en n’autorisant que les hôtes de confiance, en appliquant le principe du moindre privilège.

Source

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Faille de sécurité critique corrigée dans OpenSSH : comment se protéger ?
  2. Faille critique corrigée dans Cisco Smart Software Manager On-Prem – Protégez-vous maintenant
  3. Mise à jour critique pour les routeurs ASUS : faille de sécurité corrigée
  4. Alerte sécurité : Faille critique dans le pilote Wi-Fi de Windows !
  5. Faille critique dans Veeam Backup : comment se protéger des attaques potentielles
  6. Découvrez l’exploit PoC pour une faille de sécurité critique dans Veeam Backup Enterprise Manager
Tags:

Plus d'actu

Google Cloud - Le MFA va être obligatoire pour tous les utilisateurs

Google Cloud : MFA obligatoire pour tous les utilisateurs en 2024

14 heures ago Julien Castex
Cybersécurité - Interpol neutralise 22 000 adresses IP et 1 000 serveurs

Découvrez le succès de l’opération mondiale d’Interpol contre la cybercriminalité

16 heures ago Julien Castex
Pourquoi est-il si difficile de passer à une authentification sans mot de passe

Les avantages et défis de l’authentification sans mot de passe

18 heures ago Julien Castex

Vous avez peut-être manqué

Announcing Season 1 of Call of Duty: Black Ops 6 and Warzone, live Nov 14

Un nouvel empire se lève dans Call of Duty: Black Ops 6 avec la saison 01

3 heures ago Alex Lopez
Google app could soon get a Search Recall feature

Google teste une recherche en temps réel sur Android avec des réponses naturelles

4 heures ago Julien Castex
Can the Snapdragon 8 Elite run Popular PC Games?

Puissant Snapdragon 8 Elite : Smartphone realme GT 7 Pro défie les jeux PC AAA

5 heures ago Julien Castex
See Final Fantasy VII Rebirth's PS5 Pro update in action

Final Fantasy VII Rebirth optimise son expérience avec la mise à jour PS5 Pro

6 heures ago Alex Lopez