Vulnerabilidad en Moby (CVE-2024-41110)

Moby es un proyecto de código abierto creado por Docker para la contenedorización de software. Se ha detectado una vulnerabilidad de seguridad en determinadas versiones de Docker Engine, que podría permitir a un atacante omitir los complementos de autorización (AuthZ) en circunstancias específicas. La probabilidad básica de que esto sea explotado es baja. Utilizando una solicitud de API especialmente manipulada, un cliente de Engine API podría hacer que el daemon reenvíe la solicitud o respuesta a un complemento de autorización sin el cuerpo. En determinadas circunstancias, el complemento de autorización puede permitir una solicitud que, de otro modo, habría rechazado si se le hubiera enviado el organismo. En 2018 se descubrió un problema de seguridad en el que un atacante podía omitir los complementos de AuthZ mediante una solicitud API especialmente manipulada. Esto podría dar lugar a acciones no autorizadas, incluida la escalada de privilegios. Aunque este problema se solucionó en Docker Engine v18.09.1 en enero de 2019, la solución no se trasladó a versiones principales posteriores, lo que resultó en una regresión. Cualquiera que dependa de complementos de autorización que introspeccionen el cuerpo de solicitud y/o respuesta para tomar decisiones de control de acceso se verá potencialmente afectado. Docker EE v19.03.x y todas las versiones de Mirantis Container Runtime no son vulnerables. docker-ce v27.1.1 contiene parches para corregir la vulnerabilidad. Los parches también se han fusionado en las ramas de versión maestra, 19.0, 20.0, 23.0, 24.0, 25.0, 26.0 y 26.1. Si uno no puede actualizar inmediatamente, evite usar complementos de AuthZ y/o restrinja el acceso a la API de Docker a partes confiables, siguiendo el principio de privilegio mínimo.