Docker vừa phát hành bản cập nhật an ninh để giải quyết lỗ hổng nghiêm trọng ảnh hưởng đến một số phiên bản Docker Engine. Lỗ hổng này có thể bị hacker khai thác để vượt qua các plugin xác thực (AuthZ) trong một số trường hợp.
Lỗ hổng ban đầu được phát hiện và vá trong Docker Engine v18.09.1, phát hành vào tháng 1/2019. Tuy nhiên vì lý do nào đó, bản sửa lỗi không được đưa vào các phiên bản sau và lỗ hổng đã xuất hiện trở lại.
Sự hồi quy nguy hiểm này được phát hiện vào tháng 4/2024. Hãng giờ đây đưa ra bản phát hành cho tất cả các phiên bản Docker Engine được hỗ trợ.
Điều này có nghĩa, kẻ tấn công đã có thời hạn 5 năm để nhắm tới lỗ hổng. Tuy nhiên, không rõ liệu lỗ hổng đã bị khai thác thực tế hay chưa.
Lỗi hiện có mã theo dõi CVE-2024-41110 (điểm CVSS: 10.0), ảnh hưởng đến các phiên bản Docker Engine v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, v26.0.2, v26.1.4, v27.0.3 và v27.1.0, đối với người dùng plugin xác thực để kiểm soát quyền truy cập.
Người dùng bị ảnh hưởng được khuyến cáo chuyển sang phiên bản đã vá lỗ hổng.
Nguồn: Bleeping Computer