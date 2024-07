Docker heeft na vijf jaar ontdekt dat een update voor een bekende kritieke kwetsbaarheid niet met de software werd meegeleverd. Eind 2018 werd het beveiligingslek gevonden, waardoor een aanvaller gebruikte autorisatieplug-ins kan omzeilen, om vervolgens ongeautoriseerde acties uit te voeren, waaronder het verhogen van rechten. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

"Het standaard autorisatiemodel van Docker is alles of niets. Gebruikers met toegang tot de Docker-daemon kunnen elk Docker-commando uitvoeren. Voor meer toegangscontrole kan er gebruik worden gemaakt van autorisatieplug-ins. Deze plug-ins beoordelen requests voor de Docker-daemon op basis van authenticatie en commando", aldus Gabriela Georgieva van Docker.

Via de Docker engine is het mogelijk om Docker-containers te draaien. Begin 2019 verscheen er een update voor de kritieke kwetsbaarheid. In juli 2019 verscheen er een versie waarin de update door een regressie ontbrak en sindsdien werd de software zonder de patch geleverd. Iets wat afgelopen april aan het licht kwam. Docker heeft nu versie 27.1.1 uitgebracht waarin de update weer is toegevoegd.