Amazon Linux 2023 : docker (ALAS2023-2024-674)

critical Nessus プラグイン ID 204957

Language:

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2024-674 のアドバイザリに記載されている脆弱性の影響を受けます。

Moby は、ソフトウェアのコンテナ化のために Docker によって作成されたオープンソースプロジェクトです。Docker Engine の特定のバージョンでセキュリティの脆弱性が検出されました。これにより、攻撃者が特定の状況で承認プラグイン (AuthZ) をバイパスする可能性があります。これが悪用される可能性は、基本的に低いです。

特別に細工された API リクエストを使用して、Engine API クライアントは、デーモンにリクエストまたは応答を本文のない認証プラグインに転送させる可能性があります。特定の状況では、認証プラグインは、本文が転送されていた場合に拒否されていたリクエストを許可する場合があります。

2018 年に、攻撃者が特別に細工された API リクエストを使用して AuthZ プラグインをバイパスできるセキュリティ問題が発見されました。これにより、権限昇格などの認証されていないアクションが実行される可能性があります。この問題は 2019 年 1 月の Docker Engine v18.09.1 で修正されましたが、それ以降のメジャーバージョンに修正が引き継がれなかったため、結果として回帰が発生しました。アクセスコントロールの決定を行うためにリクエストやレスポンスの本文をイントロスペクトする認証プラグインに依存するユーザーは、影響を受ける可能性があります。

Docker EE v19.03.x およびすべてのバージョンの Mirantis Container Runtime は脆弱ではありません。

docker-ce v27.1.1 には、脆弱性を修正するパッチが含まれています。パッチは、マスター、19.0、20.0、23.0、24.0、25.0、26.0、26.1 リリースブランチにもマージされています。すぐにアップグレードできない場合は、最小権限の原則に従って、AuthZ プラグインの使用を回避するか、Docker API へのアクセスを信頼できる関係者に制限してください。(CVE-2024-41110)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。