هاد هي الترجمة ديال هاد المقال لـ "الداريجة" المغربية:
هاد هي الترجمة ديال هاد المقال لـ "الداريجة" المغربية:
تحذير Docker: ثغرة خطيرة CVE-2026-34040 كاتسمح بتجاوز الصلاحيات والتحكم الكامل فالسيرفر (Host)
بخلاصة (TL;DR)
تكتشفات واحد الثغرة خطيرة بزاف (CVE-2026-34040، بتقييم CVSS 8.8) فـ Docker Engine. هاد الثغرة كاتخلي الهاكرز يتجاوزوا الإضافات ديال الصلاحيات (AuthZ plugins) غير بـ "طلبات API" كبار بزاف. فاش كايصيفط الهاكر طلب فيه كثر من 1MB، الـ Docker كايحيد "الداخل" (body) ديال الطلب قبل ما يوصل للـ plugin، وهادشي كايخلي الـ plugin يوافق على عمليات ما مسموحش بيها — بحال إنشاء containers عندهم صلاحيات عالية باش يوصلوا لملفات السيرفر. الخبراء كاينصحوا المستخدمين باش يـupdate-يوا Docker Engine للنسخة 29.3.1 فأقرب وقت.
رجوع ثغرة كاريثية
المجتمع ديال الأمن المعلوماتي داير حالة هاد الأيام من بعد ما تكتشفات CVE-2026-34040. هاد الثغرة اللي التقييم ديالها 8.8، عاودات بانت حيت الإصلاح القديم ديال واحد الثغرة خرى (CVE-2024-41110) اللي كانت فـ يوليوز 2024 ما كملش الخدمة مزيان.
المشكل كاين فـ الطريقة كيفاش الـ Docker daemon كيتعامل مع الـ plugins ديال الصلاحيات (AuthZ). هاد الـ plugins دايرين بحال العساسة، كايشوفوا الطلبات ديال الـ API وكايقرروا واش يخليوك تدير شي حاجة (بحال تصاوب container) ولا لا، على حساب شنو صيفطي فـ الـ "body" ديال الطلب.
كيفاش كايتم التجاوز؟
اللب ديال المشكل هو فاش كيكون الـ HTTP request body كبر من القياس. على حساب المطورين ديال Docker والباحثين فـ Cyera Research Labs، الهاكر كايقدر يصيفط طلب API "منفوخ" وصناعي فايت 1MB.
فاش طاري هادشي:
- حذف الـ Body: الـ Docker daemon كايصيفط الطلب للـ AuthZ plugin ولكن كايحيد منو الـ body حيت كبير بزاف.
- الموافقة العميانية: حيت بزاف ديال هاد الـ plugins كايعتمدوا على الـ body باش ياخدو قرار، الـ plugin كايشوف الطلب خاوي وكايسحاب ليو راه آمن، وكايعطيه الموافقة.
- الاستغلال (Exploitation): من بعد، الـ Docker daemon كايطبق الطلب الأصلي كامل (بما فيه الـ body اللي تحيد قبيلة)، وهادشي كايخلي الهاكر يدير عمليات ممنوعة — وأخطرها هي يصاوب "privileged container".
فاش كايتصاوب هاد الـ privileged container، الهاكر كايقدر يدخل للملفات ديال السيرفر (host) وياخد حوايج حساسة بحال الـ credentials ديال AWS، السوارت ديال SSH، والـ configurations ديال Kubernetes.
علاقة الذكاء الاصطناعي: OpenClaw والاستغلال الذاتي
الخطر ديال هاد الثغرة وصل حتى لعالم الذكاء الاصطناعي. الباحثين وضحوا كيفاش الـ AI coding agents (بحال OpenClaw) اللي خدامين فـ Docker sandboxes يقدروا يتستغلوا باش يطبقوا هاد الثغرة:
- Prompt Injection: يقدر شي حد يضحك على الـ AI agent باش يخدم كود خايب مخبي فـ شي GitHub repository مسموم.
- الاكتشاف الذاتي: حتى بلا ريبوزيتوري مسموم، يقدر شي AI agent مطور يكتشف هاد الثغرة لراسو. مثلا إلا كان كيدير "debugging" لشي مشكل فـ Kubernetes ولقى راسو ممنوع من طرف الـ AuthZ، يقدر هو يطيرها من راسو ويصاوب طلب HTTP "منفوخ" باش يتجاوز المنع ويوصل للملفات اللي بغا.
التأثير والمخاطر
هاد الثغرة كاتأثر على أي بيئة (environment) كاتعتمد على الـ AuthZ plugins. إلا تخدمات هاد الثغرة، الخطر كيكون كبير بزاف. الهاكر يقدر ينتقل من "بيئة محدودة" فـ Docker API حتى يسيطر كامل على السيرفر، وموراها يشد التحكم فـ cloud accounts والسيرفرات ديال الإنتاج (production) و الـ Kubernetes clusters.
الحل وكيفاش تحمي راسك
Docker خرجو patch (إصلاح) لهاد المشكل. خاص المستخدمين يديرو update لـ Docker Engine نسخة 29.3.1 دابا.
بالنسبة للناس اللي ماقدروش يديرو الـ update دابا، كاينين هاد الحلول المؤقتة:
- ما تعتمدش على الـ Body: حاول ما تخدمش بـ AuthZ plugins اللي كايحتاجوا يشوفوا الـ body باش ياخدو قرارات أمنية.
- أقل الصلاحيات (Least Privilege): حدد شكون يقدر يوصل لـ Docker API وخليه غير للناس اللي كاتييق فيهم.
- خدم بـ Rootless Mode: فاش كاتخدم Docker فـ هاد الـ mode، الخطر كاينقص بزاف. حيت حتى إلا تصاوب privileged container، الـ "root" ديالو كيبقى محدود فالسيرفر.
- User Namespace Remapping: إلا كنتي ما كاتقدرش تخدم بـ rootless mode، استعمل
--userns-remapباش تعطي حماية مشابهة.
هاد الثغرة تكتشفات وتبارطاجات من طرف الباحثين: Asim Viladi Oglu Manizada، Cody، Oleh Konko، و Vladimir Tokarev.
المصدر: The Hacker News