Docker ออกแพตช์แก้ไขช่องโหว่ Authentication Bypass ความรุนแรงสูง ที่มีอายุกว่า 5 ปี Docker ได้ประกาศออกแพตช์เพื่อแก้ไขช่องโหว่ CVE-2024-41110 ซึ่งมีความรุนแรงระดับ Critical (CVSS Score: 10/10) ช่องโหว่นี้เป็นประเภท Authentication Bypass ที่อนุญาตให้ผู้โจมตีสามารถสร้าง API request พิเศษโดยการกำหนด Content-Length เป็น 0 ส่งผลให้ Docker ส่งต่อคำขอไปยัง Authorization Plugin (AuthZ) จนสามารถหลีกเลี่ยงกระบวนการตรวจสอบความถูกต้องได้ แม้ว่าช่องโหว่นี้ได้รับการแก้ไขใน Docker Engine เวอร์ชัน 18.09.1 เมื่อเดือนมกราคม 2019 แล้ว แต่การแก้ไขดังกล่าวไม่ได้ถูกรวมเข้าในเวอร์ชันถัดมา ทำให้ช่องโหว่นี้ยังคงมีอยู่ในเวอร์ชันปัจจุบัน ซึ่งนับเป็นเวลากว่า 5 ปีแล้ว ช่องโหว่นี้ส่งผลกระทบต่อ Docker Engine เวอร์ชัน v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, … Continue reading Docker ออกแพตช์ช่องโหว่ Authentication Bypass อายุกว่า 5 ปี