一、漏洞详情
Docker Desktop是Docker官方提供的一款桌面端应用,主要用于在Windows和macOS系统上便捷地运行和管理Linux容器。
近日,监测到Docker Desktop存在容器越权访问漏洞,该漏洞允许本地运行的恶意Linux容器绕过隔离机制,通过默认子网(192.168.65.7:2375)直接访问Docker Engine API。该漏洞不依赖挂载Docker socket,也不受“Expose daemon on tcp://localhost:2375 without TLS”开关或Enhanced Container Isolation(ECI)设置影响。一旦被利用,攻击者可执行创建和控制容器、管理镜像等高权限操作,甚至在Windows+WSL环境下挂载宿主机磁盘并访问用户级权限文件。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Docker Desktop < 4.44.3
三、修复建议
官方已发布安全补丁,升级至Docker Desktop 4.44.3及以上。
