🔐 Критическая уязвимость в Docker Привет, друзья! Я хочу поговорить о Docker и очередной критической уязвимости, которая оставалась незамеченной целых пять лет. Разработчики уже выпустили обновление для её устранения. Давайте разберемся, что случилось и что делать. ❕Всё началось с того, что ещё в январе 2019 года в Docker Engine 18.09.1 обнаружили и устранили уязвимость, позволяющую обходить плагины авторизации (AuthZ). Но по какой-то непонятной причине, это исправление не было перенесено в более поздние версии. В итоге, уязвимость снова проявилась. Эту проблему заново заметили только в апреле 2024 года. И вот, наконец, на этой неделе выпущены патчи для всех поддерживаемых версий Docker Engine. ⚙️ Уязвимость, отслеживаемая под идентификатором CVE-2024-41110, получила максимальные 10 баллов по шкале CVSS. Суть проблемы в том, что злоумышленники могут отправить специальный API-запрос с Content-Length равным 0. Такой запрос обманом вынуждает демона Docker переслать его плагину AuthZ. 🧑‍💻 Так как при Content-Length равном 0 плагин AuthZ не может выполнить надлежащую проверку, есть риск одобрения запросов для несанкционированных действий, включая повышение привилегий. P. S Если вы используете старые версии Docker Engine и применяете плагины авторизации, обязательно обновитесь до последней версии. Это поможет предотвратить возможные атаки и несанкционированный доступ к вашим инстансам Docker. #Docker #Обновление