### Обнаружение критической уязвимости в Docker Engine
Пять лет назад в Docker Engine была исправлена уязвимость высокой степени критичности, которая позволяла злоумышленникам обходить плагины авторизации и повышать привилегии на уязвимых экземплярах.
Однако в одной из новых версий, выпущенной после исправления, эта уязвимость вновь появилась и оставалась активной до недавнего времени.
### Уязвимость CVE-2024-41110
Этой уязвимости присвоен новый идентификатор CVE-2024-41110, и она получила максимальный балл опасности — 10 из 10. Уязвимы все версии до v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, v26.0.2, v26.1.4, v27.0.3 и v27.1.0 для пользователей, использующих плагины авторизации для контроля доступа.
Пользователи, не использующие плагины авторизации, те, кто использует Mirantis Container Runtime, а также пользователи коммерческих продуктов Docker не подвержены данной уязвимости, независимо от версии Docker Engine.
Самые ранние версии с исправлением — это v23.0.14 и v27.1.0.
### Воздействие на Docker Desktop
Версия Docker Desktop 4.32.0 также подвержена уязвимости, но её влияние ограничено, так как для эксплуатации уязвимости требуется доступ к API Docker. Повышение привилегий будет ограничено лишь виртуальной машиной.
В будущей версии Docker Desktop v4.33.0 эта проблема будет решена, но она ещё не опубликована.
### Рекомендации для пользователей
Пользователи, не имеющие возможности применить патч в данный момент, должны отключить плагины AuthZ и ограничить доступ к API Docker только доверенным пользователям.
### О платформе Docker
Docker — это платформа для разработки, доставки и запуска приложений с использованием технологии контейнеризации. Она позволяет разработчикам упаковывать приложения и их зависимости в контейнеры, обеспечивая консистентность во всех средах. Платформой Docker пользуются более 13 миллионов людей по всему миру, включая индивидуальных разработчиков, малый бизнес и крупные предприятия.
Источник: TechRadar
