В сфере контейнеризации выявлена новая серьёзная уязвимость, затрагивающая ядро Docker Engine. Проблема, получившая идентификатор CVE-2026-34040, связана с механизмом авторизации и потенциально позволяет злоумышленнику, обладающему начальным уровнем доступа к системе, обойти проверки плагинов безопасности. Данный случай наглядно демонстрирует, как даже в зрелых и широко распространённых платформах могут сохраняться тонкие, но критические изъяны в архитектуре безопасности, особенно в механизмах контроля доступа.
Уязвимость CVE-2026-34040
Суть уязвимости кроется в обработке Docker-демоном (dockerd) запросов к своему API с увеличенным объёмом тела. В сценарии атаки злоумышленник отправляет специально сформированный запрос. Однако из-за ошибки в логике обработки, демон, перенаправляя этот запрос на активный плагин авторизации (AuthZ plugin), удаляет из него тело - то есть основную содержательную часть. В результате плагин безопасности, чья задача - анализировать содержимое запроса для принятия решения о разрешении или блокировке действия, лишается ключевых данных. Фактически система принуждает "привратника" безопасности принимать решение вслепую, что может привести к разрешению операций, которые в нормальных условиях были бы заблокированы.
Важно подчеркнуть, что эта проблема актуальна исключительно для сред, где для контроля доступа к Docker API используются плагины авторизации, принимающие решения на основе анализа тела запроса. Если в вашей инфраструктуре такие плагины не задействованы, она не подвержена данной конкретной уязвимости. Эксперты отмечают, что CVE-2026-34040 является следствием неполного исправления предыдущей аналогичной проблемы, известной как CVE-2024-41110, что лишний раз указывает на сложность корректной реализации механизмов проверки данных между компонентами.
С технической точки зрения для успешной эксплуатации уязвимости атакующему уже необходим локальный доступ к хосту с привилегиями, позволяющими взаимодействовать с Docker API. Это может быть скомпрометированный контейнер или учётная запись пользователя с ограниченными правами. В случае успеха подобная атака открывает путь к эскалации привилегий внутри системы, изменению конфигураций хоста или несанкционированному доступу к чувствительным данным. Уязвимость затрагивает все версии Docker Engine ранее 29.3.1 и имеет высокий уровень опасности по общепринятым шкалам, несмотря на то что базовая вероятность эксплуатации оценивается как невысокая из-за требований к начальному доступу.
Для устранения риска администраторам настоятельно рекомендуется немедленно обновить Docker Engine до версии 29.3.1, в которой содержится официальный патч. Если немедленное обновление по каким-либо причинам невозможно, специалисты по безопасности могут применить временные меры. Во-первых, следует отказаться от использования плагинов авторизации, которые полагаются на инспекцию тела запроса для принятия решений о безопасности. Во-вторых, необходимо строго ограничить доступ к сокету Docker API или соответствующему сетевому порту, предоставив его только абсолютно доверенным компонентам и пользователям, неукоснительно следуя принципу наименьших привилегий. Обнаружение и ответственное разглашение информации об этой уязвимости было выполнено независимой командой исследователей безопасности, а работы по исправлению координировались сообществом разработчиков Docker. Этот инцидент служит важным напоминанием о необходимости тщательного аудита и тестирования систем контроля доступа, особенно в сложных распределённых системах, где решения о безопасности принимаются цепочкой взаимодействующих компонентов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-34040
- https://github.com/moby/moby/security/advisories/GHSA-x744-4wpc-v9h2
- https://github.com/moby/moby/releases/tag/docker-v29.3.1
