2024年7月30日,网上更新披露了一个Docker CE AuthZ 权限提升漏洞(CVE-2024-41110),Docker 是一个开源的应用容器引擎,Docker Engine 是 Docker 可移植的容器运行时,AuthZ 用于控制和限制对 Docker 守护进程的 API 请求,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本中,攻击者可以使用 Content-Length设置为 0 的 API 请求绕过权限检查,导致 Docker 守护进程将没有正文的请求转发到 AuthZ 插件,进而导致未授权操作和权限提升。
风险等级:高风险。
影响范围:
docker@[v24.0.0, v27.1.1)
docker@[v19.03, v23.0.15)
docker.io@影响所有版本
修复建议:
Docker CE v27.1.1包含修复该漏洞的补丁。补丁也已合并到主版本、19.0、20.0、23.0、24.0、25.0、26.0 和 26.1 版本分支中。
进行安全更新方法:
https://docs.docker.com/engine/release-notes/27.1/#2711
