偵測

Docker Engine < 23.0.15 / 26.x < 26.1.5 / 27.x < 27.1.1 驗證繞過

critical Nessus Plugin ID 204784

語系:

概要

遠端主機上安裝的一個應用程式受到驗證繞過弱點影響。

說明

遠端主機上安裝的 Docker Engine (Moby) 版本低於 23.0.15,或為低於 26.1.5 的 26.x 或低於 27.1.1 的 27.x,因此會受到驗證繞過弱點影響。如果使用特製的 API 要求,Engine API 用戶端可讓程序將要求或回應轉送至沒有內文的授權外掛程式。在某些情況下,授權外掛程式可能會允許在將內文轉送至其時本會拒絕的要求。在 2018 年發現一個安全性問題,攻擊者可利用特製的 API 要求來繞過 AuthZ Plugin,這可導致未經授權的動作,包括權限提升。雖然此問題已於 2019 年 1 月在 Docker Engine v18.09.1 中修正,但此修正並未移轉至之後的主要版本,進而導致回歸。所有依賴可自我檢查要求和/或回應內文以做出存取控制決策的授權外掛程式使用者都可能會受到影響。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Docker Engine 23.0.15、26.1.5、27.1.1 或更新版本

另請參閱

https://github.com/moby/moby/security/advisories/GHSA-v23v-6jw2-98fq

http://www.nessus.org/u?d718ad8d

Plugin 詳細資訊

嚴重性: Critical

ID: 204784

檔案名稱: docker_cve-2024-41110.nasl

版本: 1.2

類型: local

系列: Misc.

已發布: 2024/7/26

已更新: 2024/7/29

支援的感應器: Nessus

風險資訊

VPR

風險因素: Critical

分數: 9.2

CVSS v2

風險因素: High

基本分數: 9

時間分數: 7

媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2024-41110

CVSS v3

風險因素: Critical

基本分數: 9.9

時間分數: 8.9

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: cpe:/a:docker:docker

必要的 KB 項目: installed_sw/Docker

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2024/7/24

弱點發布日期: 2024/7/23

參考資訊

CVE: CVE-2024-41110

IAVA: 2024-A-0438