本週Docker發布資安公告，指出部分版本的Docker引擎存在弱點，導致攻擊者能在特定的情況下繞過用於授權的外掛程式AuthZ，影響19.03版以上的Docker引擎，目前被登記為CVE-2024-41110列管，CVSS風險評為10分（滿分10分）。

值得留意的是，這項弱點曾於2018年發現，該公司於隔年1月發布18.09.1版予以修補，但這項弱點的修補程式碼卻並未延續到後續版本，直到今年4月才發現這樣的狀況，並在7月23日正式推出新版予以修補，使得這樣的弱點存在長達5年半，目前是否已被駭客掌握並用於攻擊行動，仍不得而知。

但為何已修補的漏洞程式碼沒有延續到後來的版本的情況？Docker並未進一步說明。

究竟這項漏洞會造成什麼樣的危險？該公司表示，攻擊者可發送特製的API請求，將Content-Length設置為0，導致Docker的Daemon程式將沒有內容的請求轉送到AuthZ，該外掛程式無法正常進行驗證，而有可能直接覈准身分驗證請求。

不過，他們也提及並非所有使用者都會受到影響。未採用AuthZ進行存取控制，或是導入Mirantis Container Runtime（MCR）、企業版Docker的用戶，都不會受到上述弱點影響。換言之，若是無法即時更新Docker引擎的用戶，暫停使用AuthZ，並限縮API的存取權限，也能緩解這項漏洞帶來的危險。

該公司也提及，這項漏洞可能影響Docker桌面版本4.32.0，原因是內含存在漏洞的Docker引擎，他們將會發布4.33更新進行修補，但也提及影響較為有限的情況。

因為，利用漏洞必須存取API，換言之，攻擊者必須能夠掌握Docker主機的本機存取權限，或是遇到Daemon不慎透過TCP曝露在外的組態設置狀況。

再者，預設的桌面版Docker組態並未包含AuthZ，此外，權限提升僅侷限於Docker的虛擬機器，而非主機的底層。