摘要:
docker security update
安全等级: Critical
公告ID: KylinSec-SA-2024-3676
发布日期: 2024年8月9日
关联CVE: CVE-2024-41110
Docker 是一个开源项目,用于构建、分发和运行任何应用程序作为轻量级容器。
安全修复:
Moby 是 Docker 创建的一个用于软件容器化的开源项目。在 Docker Engine 的某些版本中检测到一个安全漏洞,该漏洞在特定情况下可能允许攻击者绕过授权插件(AuthZ)。不过,此漏洞被利用的基础可能性较低。
通过精心构造的 API 请求,Engine API 客户端可能使守护进程将请求或响应转发给授权插件而不带正文。在某些情况下,如果正文已转发给授权插件,授权插件可能会允许一个原本会被拒绝的请求。
2018 年发现了一个安全问题,其中攻击者可以使用精心构造的 API 请求绕过 AuthZ 插件。这可能导致未经授权的操作,包括权限提升。尽管此问题已在 2019 年 1 月的 Docker Engine v18.09.1 中得到修复,但修复并未应用到后续的主要版本中,从而导致了回归。任何依赖于授权插件来检查请求和/或响应正文以做出访问控制决策的用户都可能受到影响。
Docker EE v19.03.x 和 Mirantis Container Runtime 的所有版本均不受此影响。
docker-ce v27.1.1 包含了修复此漏洞的补丁。补丁也已合并到 master、19.03、20.0、23.0、24.0、25.0、26.0 和 26.1 发布分支中。如果无法立即升级,请避免使用 AuthZ 插件和/或将 Docker API 的访问权限限制为受信任方,遵循最小权限原则。(CVE-2024-41110)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-41110 | KY3.4-5A | docker | Fixed |
| CVE-2024-41110 | KY3.5.2 | docker | Fixed |
| CVE-2024-41110 | V6 | docker | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| docker-engine | x86_64 | 18.09.0-268.kb1.ky3_4 |
| docker-engine | aarch64 | 18.09.0-268.kb1.ky3_4 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| docker-engine | x86_64 | 18.09.0-345.ks6 |
| docker-engine | aarch64 | 18.09.0-345.ks6 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| docker-engine | x86_64 | 18.09.0-340.ky3_5.kb1 |
| docker-engine | aarch64 | 18.09.0-340.ky3_5.kb1 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
