Synthèse
Des mises à jour de sécurité ont été publiées pour résoudre une vulnérabilité « critique » dans le plugin Authz de Moby, un projet open source permettant de créer des plates-formes de conteneurs Docker personnalisées. Cette vulnérabilité pourrait permettre de contourner les mécanismes d’autorisation via des requêtes API correctement conçues.
Risque
Impact estimé de la vulnérabilité sur la communauté de référence : ÉLEVÉ/ORANGE (66,66/100)1.
Typologie
- Security Restrictions Bypass
Produits et/ou versions concernés
Docker Engine
- 19.x, versions antérieures au 19.03.15 (inclus)
- 20.x, versions antérieures à 20.10.27 (inclus)
- 23.x, versions antérieures à 23.0.14 (inclus)
- 24.x, versions antérieures à 24.0.9 (inclus)
- 25.x, versions antérieures à 25.0.5 (inclus)
- 26.0.x, versions antérieures à 26.0.2 (inclus)
- 26.1.x, versions antérieures à 26.1.4 (inclus)
- 27.0.x, versions antérieures à 27.0.3 (inclus)
- 27.1.x, versions antérieures à 27.1.0 (inclus)
Mesures d’atténuation
Conformément aux déclarations du fournisseur, il est recommandé de mettre à jour Docker vers la dernière version disponible.
Identificateurs de vulnérabilité uniques
Références
https://www.docker.com/blog/docker-security-advisory-docker-engine-authz-plugin
https://github.com/moby/moby/security/advisories/GHSA-v23v-6jw2-98fq
1Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.