Aviso de seguridad
Nivel de peligrosidad: Alto
Descripción
Cuando Docker Compose procesa artefactos OCI que contienen anotaciones como com.docker.compose.file, com.docker.compose.envfile o com.docker.compose.extends, concatena directamente valores proporcionados por el atacante con su directorio de caché local sin verificar que el resultado permanezca dentro de ese directorio. Esto permite un recorrido de directorio (path traversal) que posibilita la sobrescritura de archivos críticos del sistema.
Recursos afectados
- Docker Compose versiones anteriores a la 2.40.2 en todas las plataformas que resuelven artefactos OCI remotos (Docker Desktop, CI/CD runners, entornos de nube, Linux, etc.).
- Entornos donde se ejecutan comandos como docker compose config o docker compose ps, pues la vulnerabilidad puede activarse incluso en comandos de solo lectura.
Solución
Actualizar Docker Compose a la versión 2.40.2 o posterior, que incluye la corrección para evitar que se realice la concatenación insegura de rutas y se salga del directorio de caché.
Recomendaciones
- Verificar todas las instalaciones de Docker Compose en su organización y confirmar la versión actual.
- Actualizar inmediatamente a la versión 2.40.2 o posterior.
- Limitar la ejecución de Docker Compose sólo a usuarios de confianza y bajo entornos controlados.
- Auditar artefactos OCI externos antes de utilizarlos, asegurándose de que provengan de fuentes confiables.
- Monitorear registros de sistema y sistema de archivos para detectar escrituras inesperadas en directorios fuera del directorio de caché.
Referencias