Docker heeft twee ernstige kwetsbaarheden opgelost in zijn software. In Docker Compose werd een fout ontdekt die het mogelijk maakte om bestanden te schrijven buiten de beveiligde omgeving, terwijl de Windows Desktop Installer gevoelig bleek voor DLL-hijacking.
Dit schrijven The Register en Heise. Beide fouten kregen een hoge risicoscore en zijn inmiddels verholpen in recente updates. De fout in Docker Compose werd in oktober gevonden door beveiligingsonderzoeker Ron Masas van Imperva. Compose is een hulpmiddel dat YAML-configuraties omzet in draaiende containeromgevingen en vormt een belangrijk onderdeel van talloze ontwikkel- en CI/CD-processen.
Masas ontdekte dat de recente ondersteuning voor OCI-gebaseerde Compose-artifacts onvoldoende controle uitvoerde op bestandslocaties. Bij het verwerken van deze artifacts vertrouwde Compose volledig op de aanwijzingen in de zogeheten laag-annotaties, waarin wordt vastgelegd waar bestanden moeten worden geplaatst.
Door deze annotaties te manipuleren, kon een aanvaller ervoor zorgen dat Compose bestanden opsloeg buiten de eigen cachemap, op plekken waar het proces schrijfrechten had. Daarmee ontstond de mogelijkheid om bestanden op het hostsysteem te overschrijven of toe te voegen.
Snelle reactie van Docker
De kwetsbaarheid kreeg de aanduiding CVE-2025-62725 en een CVSS-score van 8,9. Masas prijst de snelle reactie van het Docker-team, dat het probleem heeft opgelost in versie 2.40.2 van Docker Compose. Volgens hem onderstreept dit incident dat ontwikkelaars ook bij eenvoudige configuraties altijd padvalidatie moeten toepassen.
Naast het Compose-lek werd ook een fout in de Windows Installer van Docker Desktop ontdekt. Daarbij bleek het installatieprogramma DLL-bestanden te laden vanuit de map Downloads van de gebruiker, voordat het de systeemmappen controleerde.
Een aanvaller kon daardoor een kwaadaardig DLL-bestand met dezelfde naam in die map plaatsen en zo code laten uitvoeren met verhoogde rechten. Deze kwetsbaarheid, geregistreerd als CVE-2025-9164 en EUVD-2025-36191, kreeg een CVSS-score van 8,8. Docker heeft de fout verholpen in versie 4.49.0 van Docker Desktop.
De nieuwe release verwijst in de toelichting expliciet naar het beveiligingsprobleem. Tegelijk bevat de update diverse verbeteringen, waaronder een bijgewerkte Docker Engine (versie 28.5.1), Docker Compose 2.40.2 en een nieuwe Nvidia Container Toolkit 1.17.9. Ook de experimentele functie cagent is toegevoegd, waarmee gebruikers AI-agents kunnen aanmaken en beheren. De tool Docker Debug is voortaan gratis beschikbaar voor alle gebruikers.
Met de update zijn verschillende fouten opgelost. Docker Desktop gebruikt niet langer verlopen proxywachtwoorden bij het wachten op nieuwe invoer, en een foutmelding bij het starten van Docker Debug is verdwenen.
Ook macOS-probleem opgelost
Op macOS is een probleem verholpen waarbij Kubernetes kon vastlopen wanneer andere contexten actief waren. Daarnaast schakelt Docker Desktop Rosetta automatisch uit als de installatie wordt onderbroken of mislukt.
De systeemvereisten zijn aangescherpt. Op macOS is minimaal versie 14 (Sonoma) vereist, terwijl op Windows de ondersteuning voor versie 10 21H2 en 11 22H2 is beëindigd. Vanaf de volgende release zijn Windows 10 22H2 of Windows 11 23H2 de minimale versies die worden ondersteund.
In augustus had Docker al een kritisch lek in Desktop moeten dichten dat toegang tot het hostsysteem mogelijk maakte. Met de nieuwe updates benadrukt het bedrijf dat gebruikers hun omgeving up-to-date moeten houden om beveiligingsrisico’s te beperken.