Вступ

Отже, давайте зануримося в останню технологічну драму, яка змушує всіх гудіти. Ви знаєте, як ми всі любимо Docker Desktop за те, що він дозволяє створювати додатки у такий класний контейнерний спосіб, чи не так? Що ж, пристебніть ремені, тому що щойно було виявлено величезну лазівку в безпеці, яка змусила тремтіти весь світ розробників та ІТ-безпеки.

Що таке CVE-2025-9074?

Ця неприємна помилка, офіційно відома як CVE-2025-9074, є серйозною загрозою. Отримавши 9,3 бали з 10 за шкалою "о, лайно", він фактично дозволяє зловмисникам вирватися зі своїх контейнерів і розгулювати по базовій системі, і це дуже погані новини, особливо для користувачів Windows. Фелікс Буле (Felix Boulet), гострозорий дослідник безпеки, натрапив на цю ваду, яка була прихована в місці, де несанкціонований доступ до движка Docker може бути використаний цими зловмисними контейнерами для маніпуляцій з файлами та отримання більших привілеїв, ніж їм слід було б мати.

Вплив на користувачів Windows

Якщо ви використовуєте стару версію Docker Desktop, я маю на увазі версії до 4.44.3, вам, можливо, доведеться присісти. Ця проблема більш актуальна для Windows - трохи "дякувати за ніщо" інтеграції з Windows Subsystem for Linux 2 (WSL2). Звіт від BleepingComputer додає ще більше приреченості і похмурості, пояснюючи, що зловмисники можуть буквально взяти під контроль всю вашу файлову систему. Уявіть, що хтось випадково зазирнув у ваші конфіденційні файли або, що ще гірше, перехопив адмін-контроль, втрутившись у системні DLL. Так, не дуже добре, особливо якщо врахувати, що функція Покращеної ізоляції контейнерів у Docker мала б запобігти подібним випадкам.

MacOS: трохи безпечніше середовище

Давайте трохи змінимо тему - користувачі macOS, ви можете зітхнути з полегшенням. Очевидно, ваш вбудований захист тримає все під контролем, що ускладнює роботу тих самих експлойтів. Філіп Дюгре (Philippe Dugré), ще один дослідник, який досліджував цю тему, показав, що дії з втручанням у файли, які працювали в Windows, провалилися в macOS завдяки більш суворим дозволам. Це лише показує, що безпека може бути дуже нерівним ігровим полем, залежно від того, де і як ви використовуєте свої технології.

Як працює експлойт

Все це фіаско починається з трюку, відомого як підробка запитів на стороні сервера (SSRF), коли шкідливий контейнер обманює демона Docker, дозволяючи йому копатися у внутрішніх API так, ніби це звичайний день в парку. SecurityWeek зазначає, що ця лазівка може призвести до захоплення системи, що особливо небезпечно для користувачів Windows завдяки налаштуванню WSL2. Docker в основному працює у віртуальній машині Linux, і він розділяє доступ до файлової системи з хостом, що робить його ідеальним варіантом для шторму.

Реакція Docker

Отже, хоча технологія контейнерів розкуповується швидше, ніж гарячі пиріжки, а Docker Desktop є основним інструментом, зрозуміло, що не все йде гладко. Галас на X (так, це новий Twitter, не відставайте!) був шаленим, з попередженнями про те, що ці недоліки можуть призвести до загальносистемних викрадень або ще гірше. А Docker? Що вони роблять? Ну, друзі, вони випустили патч-оновлення до версії 4.44.3 або новішої. Вони виправили збій в API і посилили функції ізоляції, але розумно буде уважно стежити за своїми налаштуваннями і, можливо, увімкнути багатофакторну автентифікацію, де це можливо.

Висновок: Будьте пильні

З огляду на все це, варто бути пильними. Технічне співтовариство продовжує вчитися цьому на власному досвіді. Спілкуючись з розробниками, багато хто думає, що Docker міг би покращити їхню безпеку. Можливо, зробити деякі з цих чудернацьких функцій безпеки стандартними, розумієте? Наразі цей патч є швидким виправленням, але це заклик до зброї, що безпека у світі контейнерів потребує більше м'язів, більш активної позиції, особливо враховуючи минулі невдачі у Docker та Kubernetes. Існує тонка межа між тим, щоб зробити інструменти простими та зручними, і тим, щоб вони були заблоковані та безпечні. Для користувачів Windows це велике "яблучко", але для всіх інших це чіткий сигнал до того, що потрібно бути напоготові і пильно стежити за ситуацією. Поки технічний світ обговорює цю проблему, зверніть увагу на більш глибоке вивчення технології контейнерів і, можливо, на більш активне впровадження оновлень безпеки, щоб забезпечити надійність і безпеку наших середовищ розробки. Гаразд, ось і все, що вам потрібно знати. Слідкуйте за новинами та оновлюйте свої системи. Будемо сподіватися на більш плавне плавання вперед у постійно бурхливих водах технічної безпеки. Будьте обережні!