Eine Schwere Schwachstelle wurde kürzlich in Docker Engine veröffentlicht, die unter bestimmten Bedingungen die Vermeidung von Berechtigungs-Plugins (AuthZ) und Dockers Dämon erlaubt, Aktionen durchzuführen, die blockiert werden sollten. als CVE-2026-34040 und mit einem CVSS-Score von 8.8 bewertet, wird der Ausfall aus einer unvollständigen Korrektur, die nach einem früheren Auftreten auf der gleichen Komponente angewendet wird, verbunden mit CVE-2024-41110. Für diejenigen, die Umgebungen mit Docker verwalten, ist dies nicht nur ein technischer Fehler: Es ist ein Gateway, das zur Exposition von Anmeldeinformationen und der Einnahme von Ressourcen in der Cloud und Kubernetes-Cluster führen kann.
In einfachen Worten, das Problem tritt auf, wenn eine speziell manipulierte HTTP-Anfrage - mit einem Körper zu groß - Dockers Dämon dazu führt, die Anfrage an ein Berechtigungs-Plugin zu senden, ohne diesen Körper einzuschließen. Wenn das Plugin seine Entscheidung gründet, die Operation auf dem Inhalt der Anfrage zuzulassen oder abzulehnen (z.B. in der Konfiguration eines Containers), und erhält eine leere Anfrage, kann es die Genehmigungen, dass es normalerweise abgelehnt hätte. Nach der Annahme der Operation, der Dämon verarbeitet die volle und ordnungsgemäß gefüllte Version des Körpers und endet nach oben Erstellen, zum Beispiel ein privilegierter Container mit Zugriff auf das Dateisystem des Hosts.
Die Wurzel der Verwundbarkeit ist damit verbunden, wie das vorherige Patch für die Verwundbarkeit von 2024 behandelt wurde: Die Korrektur hat Anforderungskörper nicht ausreichend über einer bestimmten Schwelle (ca. 1 MB) betrachtet, was ein Szenario erlaubte, in dem eine einzige "aufgeblasene" HTTP-Anforderung enden kann, einen Container mit Host-Privilegien zu erstellen. Forscher, die an der Suche und Verbreitung des Problems teilgenommen haben, umfassen mehrere Personen und Institutionen, die unabhängig gemeldet, und die Korrektur wurde in der Version veröffentlicht Docker Motor 29.3.1.
Beunruhigender ist die Möglichkeit, dass künstliche Intelligenz-basierte Codiermittel, die innerhalb von Docker Sandboxen arbeiten (z.B. Assistenten, die Entwicklungsaufgaben automatisieren), manipuliert werden können, um eine Kette von Handlungen auszuführen, die zu diesem Bypass führen. Ein Code-Repository mit versteckten böswilligen Anweisungen oder sogar einem Agenten, der autonom versucht, einen Fehler zu lösen (z.B. Zugriff auf einen kubeconfig, um ein Problem zu reinigen) könnte die gepolsterte Anfrage bauen, die Verwundbarkeit auslöst, ohne dass ein ausgeklügelter Betriebscode erforderlich ist. Mit anderen Worten, jede Einheit mit Zugriff auf die Docker-API und grundlegendes HTTP-Wissen könnte den Bypass spielen: Es werden keine erweiterten Tools oder zusätzliche Privilegien benötigt, die über den bereits in einem legitimen Fluss verwendeten Zugriff hinausgehen.
Die potenziellen Auswirkungen sind ernst. Mit einem privilegierten Container und dem montierten Host-Dateisystem kann ein Angreifer SSH-Schlüssel extrahieren, Cloud-Lieferanten Zugriff auf Anmeldeinformationen, Kubernetes Konfigurationsdateien und andere Geheimnisse, die es Ihnen ermöglichen, das Engagement auf Cloud-Konten, ganze Cluster oder Produktionsserver zu skalieren. Die dringendste Empfehlung ist also, die geparched Version von Docker Engine so schnell wie möglich zu aktualisieren und die Exposition von Dockers API auf Ihren Systemen zu überprüfen.
Als unmittelbare Maßnahmen während der Implementierung des Updates wird empfohlen, sich nicht auf Berechtigungs-Plugins zu verlassen, deren Logik auf der Prüfung des Körpers von Anträgen auf kritische Entscheidungen basiert, und das Prinzip von weniger Privileg im Zugriff auf die Docker-API anzuwenden: beschränken Sie es nur auf zuverlässige Akteure und minimieren Sie, welche Anmeldeinformationen / Rollen verwendet werden können. Darüber hinaus reduziert das Laufen von Docker im wurzellosen Modus die Angriffsfläche drastisch, da die "Wurzel" innerhalb eines Containers anhält, der mit dem Root-Benutzer des Wirtssystems zusammenpasst; für Umgebungen, in denen eine vollständige Änderung nicht möglich ist, bietet das Abheben von Benutzern mit Optionen wie --userns-remap eine teilweise Minderung, die den Einfluss eines kompromittierten Containers reduziert.
Wenn Sie offizielle Quellen konsultieren und technische Details erweitern möchten, ist es angebracht, Dockers Dokumentation und Sicherheitshinweise auf seiner offiziellen Website zu überprüfen, die Abdeckung von spezialisierten Medien, die der Verbreitung und technischen Analyse von Cyber-Sicherheits-Forschungsteams gefolgt. Wir können mit Dockers Sicherheitsseite beginnen https: / / docs.docker.com / Motor / Sicherheit / wenn Newsletter und Versionshinweise angekündigt werden; die Dokumentation über die Ausführung ohne Privilegien in https: / / docs.docker.com / Motor / Sicherheit / rootless / und auf der Benutzer-Remapping; das Sicherheitsportal und öffentliche Datenbanken als NVD (National Vulnerability Database) oder MITRE CVE die amtlichen Kennungen und Analysen unabhängiger Geräte, die die Betriebstechnik und ihre Auswirkungen untersucht haben.
Diese Art von Ausfall hebt zwei wichtige Lektionen für Engineering und Sicherheitsausrüstung hervor: erste, schnelle und unvollständige Korrekturen an kritische Komponenten können ausbeutebare Drucke hinterlassen, die später in Form von Bypass erscheinen; zweitens führt der Ausleger von automatisierten Werkzeugen und KI-Agenten neue Vektoren ein, die klassische Sicherheitsfehler mit unvorhersehbaren Eigenverhalten kombinieren. Auf dem neuesten Stand zu halten, die Expositionsfläche zu reduzieren und das Vertrauen in Mechanismen zu überdenken, die die vom Netzwerk übertragenen Inhalte inspizieren, sind wichtige Maßnahmen, um das Risiko zu reduzieren, bis alle Parkmaschinen geschützt sind.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...