关于Docker Engine AuthZ 插件授权绕过漏洞（CVE-2024-41110）

itachi-uchiha

已于 2024-07-30 10:05:31 修改

阅读量1.2k

点赞数 24

分类专栏：操作系统网络安全文章标签： docker eureka 容器

于 2024-07-30 10:01:40 首次发布

本文链接：https://blog.csdn.net/avatar_2009/article/details/140724113

版权

操作系统同时被 2 个专栏收录

82 篇文章 6 订阅

订阅专栏

网络安全

16 篇文章 2 订阅

订阅专栏

一、漏洞概述

漏洞名称：Docker Engine AuthZ 插件授权绕过漏洞（CVE-2024-41110）

漏洞等级：高危

漏洞描述：DockerEngine是Docker的核心组件，是一个开源的容器引擎，负责构建、运行和管理容器。Docker Engine 的 AuthZ 插件是一种用于实现Docker访问控制机制的插件，可以实现对Docker API的细粒度访问控制，增强 Docker 的安全性。当配置为使用AuthZ插件时存在授权绕过漏洞，威胁者可以通过将 Content-Length 设置为 0 的 API 请求来利用该漏洞，导致 Docker 守护进程将没有正文的请求转发给AuthZ 插件，AuthZ插件可能会错误地批准该请求，从而导致执行未授权操作，如权限提升等。

二、影响范围

Docker Engine >= v19.03.x 且使用AuthZ 插件的用户易受该漏洞影响，不使用AuthZ插件或运行旧版 Docker Engine 的用户不易受到影响，以下产品可能包含受影响的 Docker Engine 版本：

  Docker-CE <= v19.03.15
  Docker-CE <= v20.10.27
  Docker-CE <= v23.0.14
  Docker-CE <= v24.0.9
  Docker-CE <= v25.0.5
  Docker-CE <= v26.0.2
  Docker-CE <= v26.1.4
  Docker-CE <= v27.0.3
  Docker-CE <= v27.1.0
  Docker Desktop <= v4.32.0

注：Docker Engine 的 AuthZ 插件在DockerCE或Docker Desktop 中通常是可选插件。Docker EE v19.03.x 和 Mirantis Container Runtime 所有版本不受该漏洞影响

三、修复建议

升级版本 目前该漏洞已经修复，受影响用户可升级到以下版本： Docker Engine：升级到最新修复版本。 Docker-CE：升级到v27.1.1 及更高版本，或升级到相应分支版本的补丁版本。 Docker Desktop：升级到Docker Desktop 4.33（暂未发布）或更高版本。

下载链接： https://download.docker.com/linux/

临时措施 如无法立即更新，可实施以下缓解措施：

1.避免使用 AuthZ 插件。

2.确保只有受信任的实体能够访问DockerAPI，并遵循最小权限原则。

参考链接： https://github.com/moby/moby/security/advisories/GHSA-v23v-6jw2-98fq

四、扩展信息

Moby 项目与 Docker 的关系

Docker 与 Moby: Docker 项目最初是从 Moby 项目中分离出来的，但后来两者之间的界限变得模糊。实际上，Docker 现在使用 Moby 项目中的组件作为其核心部分。
Docker CE: Docker Community Edition (CE) 是基于 Moby 项目构建的，它包含了 Moby 项目中的核心组件。
Moby 项目的独立性: Moby 项目可以独立于 Docker 运行，这意味着您可以使用 Moby 项目中的组件构建自己的容器化解决方案。

我们无法从Docker 产品发版信息处看到修复“CVE-2024-41110”的信息，但是从最新版本Moby可以看到修复了该漏洞，Moby的最新版本是25.0.6，而Docker CE的最新版本是v27.1.1。

Docker的插件

https://docs.docker.com/engine/extend/legacy_plugins/

Docker没有自己设计一套权限管理机制，而是设计了一套权限管理插件的机制，允许第三方的开发者自行设计权限管理的架构、模型、策略格式，然后通过统一的插件接口接入Docker，为Docker提供权限管理的服务。

Docker设计定义了Network plugins、Volume plugins、Authorization plugins三类插件的接口。插件的实现由第三方来完成。本次漏洞涉及的插件就是Authorization plugins，从官网信息上可知，有两类AuthZ实现。本次漏洞应该不是第三方插件实现本身有漏洞，否则也不会跟Docker Engine有关，应该是Docker定义的接口的漏洞。所以，不配置插件，也不会触发漏洞。

这里需要介绍一下Casbin项目。Casbin是一个国产开源项目，专注于解决Go语言中的权限管理问题。Casbin由北京大学罗杨博士在2017年4月发起，罗杨博士的研究方向为云计算访问控制，目前已发表数十篇相关学术论文，曾经在ICWS、IEEE CLOUD、ICICS等多个顶级学术会议进行论文宣讲。Casbin项目则是其研究成果的落地。Casbin（https://github.com/casbin/casbin）作为目前Golang语言中最主流的访问控制、权限管理开源库，也实现了一个Docker的Authorization Plugin，叫做：Casbin-authz-plugin。

另外，默认Docker并不会开启远程访问，只通过本机的socket，接受Docker命令访问。而Authorization plugins，不只是进行远程访问控制，对本地docker命令也会进行控制。例如定义了访问控制策略之后：

https://github.com/casbin/docker-casbin-plugin

 basic_policy.csv
 p, /v1.27/images/json, GET

上面的策略表示：grants anyone to perform GET on /v1.27/images/json，and deny all other requests. 所以效果如下：

 $ docker images
 REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
 hello-world         latest              48b5124b2768        3 months ago        1.84 kB
 
 $ docker info
 Error response from daemon: authorization denied by plugin casbin-authz-plugin: Access denied by casbin plugin

Docker 是否安装插件，可以通过 docker plugins ls查看，或者直接查看如下路径：

/run/docker/plugins

/etc/docker/plugins

/usr/lib/docker/plugins

https://docs.docker.com/engine/extend/plugins_authorization/

本来打算安装一下插件，但是需要FanQ(你懂的~~)，就打消了这个念头。