【安全圈】Docker Desktop曝高危缝隙:歹意容器可绑架Windows主机
近来,Docker官方披露了一个影响Windows和macOS版Docker Desktop(桌面版)的高危安全缝隙(CVE-2025-9074)。该缝隙答应进犯者经过歹意容器完结对宿主机的侵略,即便启用了增强型容器阻隔(ECI)防护机制也仍具要挟。该缝隙获得了9.3分的严重性评级。
依据安全公告显现,这一服务器端恳求假造(SSRF)缝隙使得歹意容器在无需挂载Docker套接字的情况下,就能直接拜访Docker引擎并创立新容器,从而或许会引起宿主体系文件遭到不合法拜访。有必要留意一下的是,增强型容器阻隔功用对此类进犯毫无防护作用。
缝隙发现者、安全研究员Felix Boulet指出,任何运转中的容器都可以未经认证直接拜访坐落的Docker引擎API。他经过发送两个wget的HTTP POST恳求,就成功创立了一个将Windows宿主机C盘映射到容器文件体系的新容器。令人担忧的是,该缝隙使用乃至不需要容器内的代码履行权限。
Pvotal Technologies公司的DevSecOps工程师Philippe Dugre证明,该缝隙一起影响Windows和macOS渠道,但Linux版别不受影响。他在测验中发现,Windows体系的安全危险尤为杰出:由于Docker引擎经过WSL2运转,进犯者能以管理员身份挂载整个文件体系,读取灵敏文件,乃至经过掩盖体系DLL文件完结提权进犯。
macOS体系则由于操作体系的额定防护层相对安全:当测验挂载用户目录时会触发权限提示,且Docker使用默许不具备文件体系彻底拜访权限。不过Dugre正告说,进犯者仍可经过彻底操控使用和容器来完结后门植入或装备篡改等歹意行为。
令人不安的是,该缝隙使用方法出奇简略。Dugre的验证性进犯仅需三行Python代码就可以完结。所幸Docker公司在收到陈述后敏捷呼应,已于上星期发布的4.44.3版别中修正了这一缝隙。网络安全专业的人主张一切Docker Desktop用户当即升级到最新版别以保证体系安全。
