Docker Desktop-lek geeft malafide containers toegang tot host-systeem

[Captain Kirk]

Een kritieke kwetsbaarheid in Docker Desktop maakt het mogelijk voor malafide containers om toegang tot het onderliggende host-systeem te krijgen. Het beveiligingslek (CVE-2025-9074) is vorige week met versie 4.44.3 gepatcht. Docker Desktop is een applicatie waarmee softwareontwikkelaars op een lokale machine applicaties in een container kunnen ontwikkelen en draaien.

De kritieke kwetsbaarheid maakt het mogelijk voor een malicious container om de Docker Engine te benaderen en andere Docker containers te starten, zonder dat de Docker socket gemount moet zijn. Dit kan ervoor zorgen dat een aanvaller via de malicious container toegang tot het onderliggende host-systeem kan krijgen. Ook als Enhanced Container Isolation (ECI) staat ingeschakeld. Deze beveiligingsmaatregel moet juist voorkomen dat malicious containers het host-systeem kunnen compromitteren.

"De kwetsbaarheid is op zichzelf vrij eenvoudig: De Docker Engine socket zou nooit toegankelijk voor onbetrouwbare code of gebruikers moeten zijn. Dit socket is de management API voor Docker en er toegang toe hebben geeft volledige toegang tot alles wat de Docker-applicatie kan doen", zegt onderzoeker Philippe Dugre. Een aanvaller zou zo in het ergste geval bestanden op de host kunnen lezen en schrijven. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3.

 

 

bron: https://www.security.nl