كشفت Docker مؤخراً عن تحديثات أمنية حرجة لمعالجة ثغرة برمجية في محركها (Docker Engine) تحمل المعرف CVE-2026-34040، وقد صُنفت بدرجة خطورة بلغت 8.8 من 10. وتكمن خطورة هذه الثغرة في قدرتها على تمكين المهاجمين من تجاوز آليات إضافات التفويض الأمنية المعروفة برمز (AuthZ)، وهي الأدوات التي تعتمد عليها المؤسسات لفرض سياسات صارمة على الطلبات والحاويات.
ويترتب على هذا التجاوز إمكانية إنشاء حاويات بخصائص أمنية محظورة؛ ومن أبرزها تشغيل الحاوية بوضع الامتيازات المرتفعة، مما يمنحها سيطرة كاملة على نظام التشغيل المضيف.
جذور الخلل التقني وآلية الاستغلال
يعود أصل هذا الخلل الأمني إلى الطبقة الوسيطة التي تفصل بين واجهة برمجة تطبيقات Docker (Docker API) وإضافات التفويض الخارجية؛ حيث تبين وجود مشكلة في آلية تمرير الطلبات داخل محرك Docker نفسه، دون أن يرتبط الخلل بإضافة أمنية معينة بذاتها.
وتظهر فجوة الاستغلال عند إرسال طلبات مُصممة خصيصاً يتجاوز حجمها 1 ميغابايت؛ إذ تقوم البوابة الوسيطة في هذه الحالة بتمرير الطلب إلى إضافة التفويض دون إرفاق جسم الطلب الفعلي، في حين يستمر محرك Docker في معالجة البيانات الكاملة.
ويؤدي هذا التباين إلى موافقة الإضافة الأمنية على طلبات قد تتضمن إعدادات مخالفة للسياسات، مثل تفعيل خاصية Privileged true، وذلك نظراً لعدم اطلاع الإضافة على المحتوى الكامل والمشبوه للطلب.
الارتباط بالثغرات السابقة وتداعيات بيئات الذكاء الاصطناعي
تعد هذه الثغرة امتداداً لسلسلة من المعالجات غير المكتملة لخلل سابق عُرف بالرمز CVE-2024-41110؛ حيث واجهت Docker مشكلة مشابهة تتعلق بآلية تعامل المحرك مع البيانات عندما يحدد المهاجم قيمة طول المحتوى بصفر مع إرسال بيانات فعلية.
ورغم محاولات الإصلاح المتكررة منذ عام 2019 وفي يوليو 2024، إلا أن النسخ اللاحقة شهدت عودة للمشكلة، كما أن الإصلاحات الأخيرة لم تغطِ مسار الطلبات الكبيرة التي يتجاوز حجمها 1 ميغابايت.
وتزداد حساسية هذا الموقف عند النظر إلى وكلاء البرمجة المعتمدين على الذكاء الاصطناعي العاملين داخل حاويات Docker؛ إذ يمكن لهجمات حقن الأوامر دفع هؤلاء الوكلاء لاستغلال الثغرة والوصول إلى نظام ملفات المضيف. ويؤدي ذلك بدوره إلى تعريض بيانات الإنتاج، ومفاتيح التشفير (SSH Keys)، ورموز الوصول إلى عناقيد لخطر الكشف الكامل.
التدابير العلاجية وسبل التحصين الفوري
استجابت Docker لهذا التهديد عبر إدخال تعديلات جذرية في الإصدار 29.3.1، شملت رفع الحد الأعلى لحجم الطلب الذي يجري فحصه إلى 4 ميغابايت، مع رفض أي طلب يتخطى هذا الحجم بشكل كلي. كما تضمن التحديث إزالة دالة برمجية كانت تتسبب في إسقاط محتويات الطلبات الكبيرة قبل وصولها إلى الإضافات الأمنية، وذلك لضمان مراجعة المحتوى بالكامل قبل اتخاذ قرار السماح.
وتحث الشركة كافة المستخدمين على الترقية الفورية وتقييد الوصول إلى واجهة البرمجيات Docker API ليكون مقتصراً على العناوين الموثوقة فقط. كما تنصح الإرشادات بمراجعة سجلات النظام لرصد أي تحذيرات تقنية، وتدقيق عمليات إنشاء الحاويات الجديدة للتأكد من خلوها من أي أنماط استغلال غير معتادة في البيئات الإنتاجية.
