Zraniteľnosť Docker Engine umožňuje obísť kontrolu autorizácie

Vývojári Docker Engine opravili vysoko závažnú zraniteľnosť modulov AuthZ, ktorá dovoľuje útočníkom obchádzať kontroly autorizácie a vytvárať napríklad privilegované kontajnery.

Zraniteľné systémy:

• Docker Engine, verzie staršie ako 29.3.1

Opis činnosti:

CVE-2026-34040 (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť Docker Engine umožňuje obchádzať autorizačné moduly AuthZ, ktoré vykonávajú rozhodnutia na základe inšpekcie tela požiadavky API. Chybu zabezpečenia je možné zneužiť zaslaním špeciálne vytvorenej požiadavky s dostatočne veľkým telom (nad 1MB). Middleware AuthZ ju pošle na kontrolu autentifikačnému modulu AuthZ kvôli spôsobu narábania s nadrozmernými požiadavkami bez tela. Ten ju následne povolí, pretože neobsahuje žiaden nepovolený prvok. Celá požiadavka aj s telom následne smeruje z middleware na Docker daemon, ktorý ju prečíta a vykoná.

Útočník tak môže napríklad vytvárať privilegované kontajnery, aj keď je taká možnosť v rámci infraštruktúry zakázaná.

Možné škody:

• Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia Docker Engine aspoň na verziu 29.3.1.

Pokiaľ aktualizácia nie je možná, zraniteľnosť môžete mitigovať obmedzením prístupu k Docker API len z dôveryhodných zdrojov. Môžete tiež prestať používať moduly AuthZ, ktoré rozhodujú na základe inšpekcie tela požiadavky. Ďalšie kontroly a opatrenia vykonajte podľa informácií tu.

Odkazy:

• https://github.com/moby/moby/security/advisories/GHSA-x744-4wpc-v9h2
• https://www.cyera.com/research/one-megabyte-to-root-how-a-size-check-broke-dockers-last-line-of-defense