image

Docker ontdekt na vijf jaar dat update voor kritiek beveiligingslek ontbreekt

donderdag 25 juli 2024, 08:51 door Redactie, 0 reacties

Docker heeft na vijf jaar ontdekt dat een update voor een bekende kritieke kwetsbaarheid niet met de software werd meegeleverd. Eind 2018 werd het beveiligingslek gevonden, waardoor een aanvaller gebruikte autorisatieplug-ins kan omzeilen, om vervolgens ongeautoriseerde acties uit te voeren, waaronder het verhogen van rechten. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

"Het standaard autorisatiemodel van Docker is alles of niets. Gebruikers met toegang tot de Docker-daemon kunnen elk Docker-commando uitvoeren. Voor meer toegangscontrole kan er gebruik worden gemaakt van autorisatieplug-ins. Deze plug-ins beoordelen requests voor de Docker-daemon op basis van authenticatie en commando", aldus Gabriela Georgieva van Docker.

Via de Docker engine is het mogelijk om Docker-containers te draaien. Begin 2019 verscheen er een update voor de kritieke kwetsbaarheid. In juli 2019 verscheen er een versie waarin de update door een regressie ontbrak en sindsdien werd de software zonder de patch geleverd. Iets wat afgelopen april aan het licht kwam. Docker heeft nu versie 27.1.1 uitgebracht waarin de update weer is toegevoegd.

Nog geen reacties
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.