22 novembre 2024

Krusell France

Ta dose d'actu digital !

CVE-2024-41110 : faille critique corrigée dans Docker, quelle solution ?

Docker Engine CVE-2024-41110
Rate this post

Une faille de sécurité importante a été récemment corrigée dans Docker, avec un impact potentiel sur les plugins d’autorisation AuthZ. Découvrons les détails.

La faille de sécurité dans Docker

Cette vulnérabilité, identifiée sous la référence CVE-2024-41110 et dotée d’un score CVSS de 10 sur 10, est en réalité une réapparition d’une ancienne faille. Initialement découverte et corrigée en janvier 2019 dans Docker Engine v18.09.1, le correctif n’a pas été implémenté dans les versions suivantes, laissant cette vulnérabilité non corrigée depuis plus de 5 ans.

Découverte en avril 2024, la nouvelle correction a été intégrée dans les dernières versions de Docker publiées le 23 juillet 2024.

Cette vulnérabilité permet une élévation de privilèges en contournant les contrôles AuthZ par le biais d’une requête spéciale sur l’API Docker. Selon Docker, un attaquant peut exploiter ce contournement en utilisant une requête API avec Content-Length défini à 0, ce qui induit le démon Docker à transmettre la requête sans corps au plugin AuthZ, qui pourrait approuver la requête de manière incorrecte.

CVE-2024-41110 : versions affectées et recommandations

La faille CVE-2024-41110 affecte un large éventail de versions de Docker Engine, notamment celles inférieures ou égales à 19.03.15, 20.10.27, 23.0.14, 24.0.9, 25.0.5, 26.0.2, 26.1.4, 27.0.3 et 27.1.0. Pour se protéger, il est recommandé d’utiliser une version de Docker Engine égale ou supérieure à v23.0.14 et v27.1.0.

Les utilisateurs de Docker Engine v19.03.x et versions ultérieures n’utilisant pas de plugins d’autorisation pour les décisions de contrôle d’accès ne sont pas vulnérables. De même, les utilisateurs de Mirantis Container Runtime ne sont pas affectés.

Pour Docker Desktop, toutes les versions antérieures à 4.32.0 intègrent une version vulnérable de Docker Engine. Un correctif sera disponible dans la version 4.33 de Docker Desktop. Néanmoins, Docker Desktop est moins exposé que les environnements de production, en partie car il ne configure pas par défaut les plugins AuthZ.

Si la mise à jour n’est pas possible, Docker recommande de sécuriser l’accès à l’API en n’autorisant que les hôtes de confiance, en appliquant le principe du moindre privilège.

Source

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications