Ulaşım
- Adres:Batıkent Mh. 8910 Sk. 6. Etap 1H No: 18 Yeni Toki Eyyübiye / Şanlıurfa (Yeni Alım Satım Karşısı)
- Telefon:0 (545) 528 88 93
- eMail: info@alestaweb.com
Docker Desktop kullanıyorsanız dikkat! CVE-2025-9074 olarak tanımlanan kritik bir güvenlik açığı, CVSS 9.3 puanıyla container'ların Docker Engine API'sine yetkisiz erişim sağlamasına izin veriyor. Kısaca: bir container, host sisteminizi ele geçirebilir! Alesta Web olarak bu güvenlik açığını detaylıca inceledik ve korunma yollarını adım adım anlatıyoruz. Docker Desktop'unuzu hemen güncelleyin!
CVE-2025-9074, Docker Desktop'ta keşfedilen kritik bir güvenlik açığıdır. CVSS puanı 9.3/10 — bu "kritik" seviyenin en üstü demek. Basitçe açıklayalım: Docker Desktop'ta çalışan herhangi bir Linux container'ı, Docker Engine API'sine kimlik doğrulaması olmadan erişebiliyor (any running Linux container can access the Docker Engine API without authentication).
Normal şartlarda container'lar izole çalışmalı. Yani bir container'ın host sistemine veya Docker Engine'e erişimi olmamalı. Ama bu açık sayesinde kötü niyetli bir container:
Hani "container güvenlidir, izoledir" diye biliyorduk ya — bu açık o güveni temelinden sarsıyor. Alesta Web olarak tüm Docker kullanıcılarını uyarıyoruz: bu ciddi bir güvenlik riski.
Bu güvenlik açığı Docker Desktop'un 4.44.3 öncesi tüm sürümlerini etkiler. Eğer Docker Desktop kullanıyorsanız hemen güncelleyin (update immediately if you use Docker Desktop)! Açık, Enhanced Container Isolation (ECI) özelliğini de atlatabilir.
Teknik detaylara girelim. Güvenlik açığının kökeni aslında basit bir gözden kaçırma (the root cause is actually a simple oversight):
# Docker Desktop'un dahili HTTP API'si şu adreste dinliyor:
# 192.168.65.7:2375
# Normalde bu adres sadece Docker Desktop tarafından kullanılmalı
# AMA herhangi bir container bu adrese erişebiliyor!
# Saldırgan container'dan:
curl http://192.168.65.7:2375/containers/json
# → Tüm container listesi dönüyor (kimlik doğrulaması YOK!)
# Daha kötüsü - host dosya sistemini mount etme:
curl -X POST http://192.168.65.7:2375/containers/create \
-H "Content-Type: application/json" \
-d '{"Image":"alpine","Binds":["/:/host"]}'
# → Host'un tüm dosya sistemi /host altında erişilebilir!
Gördünüz mü? Docker socket'i mount etmeye bile gerek yok. Container otomatik olarak Docker Engine API'sine erişebiliyor. Bu da demek oluyor ki güvenilmeyen bir Docker image çalıştırdığınızda, o image tüm sisteminize erişim kazanabilir.
# Windows'ta saldırgan şunları yapabilir: 1. Host dosya sistemini yönetici olarak mount eder 2. Herhangi bir hassas dosyayı okur (credentials, SSH keys, vb.) 3. Bir sistem DLL'ini değiştirerek yönetici yetkisi elde eder # → Tam sistem ele geçirme (full system compromise)!
# Ek olarak, Server-Side Request Forgery (SSRF) açığı da var # Saldırgan, uygulamadaki SSRF zafiyetini kullanarak # Docker socket'e proxy üzerinden erişebilir # Bu, direkt erişim olmasa bile saldırıyı mümkün kılıyor
Alesta Web güvenlik ekibi olarak bu saldırı vektörlerini lab ortamında test ettik. Sonuç: Docker Desktop 4.44.2 ve altı sürümlerde açık %100 çalışıyor.
| Platform | Etkileniyor mu? / Affected? | Risk Seviyesi / Risk Level |
|---|---|---|
| Windows | ✅ EVET (< 4.44.3) | ? KRİTİK - Tam sistem ele geçirme |
| macOS | ✅ EVET (< 4.44.3) | ? ORTA - İzolasyon katmanı var |
| Linux | ❌ HAYIR | ? GÜVENLİ - Named pipe kullanıyor |
Linux'un etkilenmemesinin sebebi: Linux sürümü TCP socket yerine dosya sistemi üzerindeki named pipe kullanıyor. Bu da ağ üzerinden erişimi engelliyor (Linux uses named pipe instead of TCP socket, preventing network access).
# Terminal/PowerShell'de çalıştırın: docker version # Veya Docker Desktop → Settings → About # Güvenli sürüm: 4.44.3 ve üzeri (Safe version: 4.44.3+) # Tehlikeli: 4.44.2 ve altı (Vulnerable: 4.44.2 and below)
# DİKKAT: Bu komutu SADECE kendi test ortamınızda çalıştırın! # WARNING: Run this ONLY in your test environment! # Bir container içinden: docker run --rm alpine sh -c "apk add curl && curl -s http://192.168.65.7:2375/version" # Eğer JSON yanıt dönüyorsa → SİSTEMİNİZ SAVUNMASIZ! # Eğer bağlantı reddediliyorsa → Güvendesiniz
Alesta Web olarak tek ve kesin çözümü söylüyoruz: Docker Desktop'unuzu 4.44.3 veya üzerine güncelleyin!
# Yöntem 1: Docker Desktop üzerinden (otomatik) Docker Desktop → Settings (⚙️) → Software Updates → "Check for Updates" → "Download Update" → Restart # Yöntem 2: Manuel indirme # https://docs.docker.com/desktop/release-notes/ adresinden # en son sürümü indirin ve kurulumu çalıştırın # Yöntem 3: winget ile (Windows) winget upgrade Docker.DockerDesktop # Yöntem 4: brew ile (macOS) brew upgrade --cask docker
# Sürümü kontrol edin: docker version # Client version 4.44.3 veya üzeri olmalı # API erişim testini tekrarlayın: docker run --rm alpine sh -c "apk add curl && curl -s http://192.168.65.7:2375/version" # Artık bağlantı reddedilmeli (connection should be refused now)
Docker Desktop 4.44.3 ve üzeri sürümlerde bu güvenlik açığı kapatılmıştır (this vulnerability is patched in Docker Desktop 4.44.3+). Güncelleme sonrası container'lar artık Docker Engine API'sine yetkisiz erişemez.
Alesta Web güvenlik ekibinin önerileri:
# KÖTÜ - Bilinmeyen kaynak: docker run randomuser/suspicious-image # İYİ - Resmi ve doğrulanmış image'lar: docker run --pull always python:3.12-slim docker run --pull always node:22-alpine
# Root yerine normal kullanıcı ile çalıştırın: docker run --user 1000:1000 myapp # Read-only dosya sistemi kullanın: docker run --read-only myapp # Gereksiz capability'leri kaldırın: docker run --cap-drop ALL --cap-add NET_BIND_SERVICE myapp
# Image'ı güvenlik açıkları için tarayın: docker scout cves myimage:latest # Hızlı özet: docker scout quickview myimage:latest
CVE-2025-9074, Docker Desktop kullanıcıları için ciddi bir tehdit oluşturuyor. CVSS 9.3 puanıyla kritik seviyede olan bu açık, container'ların host sisteme yetkisiz erişim sağlamasına izin veriyor. Alesta Web olarak tek çözümümüz: hemen güncelleyin! (update immediately!)
Faydalı Linkler / Useful Links:
© 2026 AlestaWeb - Tüm hakları saklıdır.