Docker telah mengeluarkan pembaruan keamanan untuk mengatasi kerentanan kritis yang memengaruhi versi Docker Engine tertentu yang dapat memungkinkan penyerang untuk melewati plugin otorisasi (AuthZ) dalam keadaan tertentu.
Kelemahan tersebut awalnya ditemukan dan diperbaiki pada Docker Engine v18.09.1 yang dirilis pada Januari 2019, tetapi karena beberapa alasan, perbaikan tidak dilanjutkan pada versi selanjutnya, sehingga kelemahan tersebut muncul kembali.
Regresi berbahaya ini baru teridentifikasi pada bulan April 2024, dan patch akhirnya dirilis hari ini untuk semua versi Docker Engine yang didukung.
Meskipun hal ini memberi penyerang waktu nyaman selama 5 tahun untuk memanfaatkan kelemahan tersebut, tidak jelas apakah kelemahan tersebut pernah dieksploitasi secara liar untuk memperoleh akses tidak sah ke instans Docker.
Cacat yang terjadi lima tahun lalu
Kelemahan ini kini dilacak di bawah CVE-2024-41110adalah masalah dengan tingkat keparahan kritis (skor CVSS: 10.0) yang memungkinkan penyerang mengirim permintaan API yang dibuat khusus dengan Content-Length 0, untuk mengelabui daemon Docker agar meneruskannya ke plugin AuthZ.
Dalam skenario umum, permintaan API menyertakan badan yang berisi data yang diperlukan untuk permintaan tersebut, dan plugin otorisasi memeriksa badan ini untuk membuat keputusan kontrol akses.
Bila Content-Length ditetapkan ke 0, permintaan akan diteruskan ke plugin AuthZ tanpa isi, sehingga plugin tidak dapat melakukan validasi yang tepat. Hal ini menimbulkan risiko menyetujui permintaan untuk tindakan yang tidak sah, termasuk peningkatan hak istimewa.
CVE-2024-41110 memengaruhi versi Docker Engine hingga v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, v26.0.2, v26.1.4, v27.0.3, dan v27.1.0, untuk pengguna yang menggunakan plugin otorisasi untuk kontrol akses.
Pengguna yang tidak mengandalkan plugin untuk otorisasi, pengguna Mirantis Container Runtime, dan pengguna produk komersial Docker tidak terpengaruh oleh CVE-2024-41110, apa pun versi yang mereka jalankan.
Versi patch yang terkena dampak disarankan untuk segera beralih ke pengguna, yaitu v23.0.14 dan v27.1.0.
Perlu dicatat juga bahwa versi terbaru Docker Desktop, 4.32.0, menyertakan Docker Engine yang rentan, tetapi dampaknya terbatas di sana karena eksploitasi memerlukan akses ke Docker API, dan tindakan peningkatan hak istimewa apa pun akan terbatas pada VM.
Docker Desktop v4.33.0 yang akan datang akan menyelesaikan masalah tersebut, tetapi belum dirilis.
Pengguna yang tidak dapat pindah ke versi aman disarankan untuk menonaktifkan plugin AuthZ dan membatasi akses ke Docker API hanya untuk pengguna tepercaya.
