HOMELAB-HAMMER der unangenehmen Sorte! In der Docker Engine ist eine MASSIVE Lücke aufgetaucht – CVE-2026-34040, CVSS-Score 8.8. Hacker können damit Authorization-Plugins komplett umschiffen und privilegierte Aktionen ausführen. Klingt theoretisch? Ist es nicht – das war der Folgefehler eines bereits 2024 als „kritisch“ eingestuften Bugs.
SCHOCK: Der unvollständige Fix von 2024 schlägt zurück
Im Juli 2024 hat Docker mit CVE-2024-41110 eine 10er-Lücke geschlossen. Damals: Authorization Plugin umgehbar. Jetzt 2026 stellen Sicherheitsforscher fest: Der damalige Fix war unvollständig. Eine Sonderform der HTTP-Anfrage trickst die Logik weiter aus. Ergebnis: Wer ein AuthZ-Plugin nutzt (etwa für Compliance, RBAC oder Daten-Klassifikation), bekommt es trotzdem ausgehebelt.
- Wer ist betroffen? Alle, die Docker Engine 27.x bis 29.3.0 fahren UND Authorization Plugins einsetzen.
- Wer ist sicher? Pure Standard-Setups ohne AuthZ-Plugin. Aber: Die Lücke ist dennoch ein Alarmsignal für die Engine selbst – Update lohnt immer.
- Wie aktiv ausgenutzt? Bisher kein Massenexploit. Aber Sicherheitsforscher rechnen mit Proof-of-Concepts in Tagen, nicht Wochen.
UNGLAUBLICH: Genau diese Setups kippen jetzt um
Im Homelab und in mittleren Firmen sind das genau die Setups, die jetzt nervös sein sollten:
- Multi-User-Hosts: ein Host, mehrere Entwickler – AuthZ-Plugin regelt, wer was darf. Ist umgehbar.
- Compliance-Setups mit Container-Image-Whitelist: Plugin filtert „nur signierte Images“. Filter steht offen.
- Container-Hosting bei kleinen Web-Hostern: Schadsoftware aus einem Tenant kann in den Host wandern.
So patchst du SOFORT – 5 MINUTEN reichen!
- Engine-Version checken:
docker version. Steht da etwas unter 29.3.1, BIST du betroffen. - Repos updaten: Auf Debian/Ubuntu
sudo apt update && sudo apt upgrade docker-ce. Bei Compose Plugins direkt mit. - Engine neu starten:
sudo systemctl restart docker. Container starten danach automatisch wieder. - Plugin-Logs sichten:
journalctl -u docker | grep authz. Wenn dort Anfragen waren, die der Plugin angeblich erlaubt hat aber NICHT hätte erlauben dürfen – prüfen lassen! - Unraid / Synology / NAS-User: Auf das nächste Engine-Update der Distribution warten ODER manuell Docker-CE installieren, wenn das Hersteller-Image lange braucht.
EXTRA-TIPP: Keine AuthZ-Plugins? Trotzdem updaten!
Auch wer keine Plugins nutzt, sollte die Engine aktualisieren. Docker hat im gleichen Release zusätzlich Bug-Fixes für Buildx, Compose und das Container-Stop-Verhalten eingebaut. Du verlierst nichts und gewinnst Stabilität.
GEFAHR! Wenn du Docker als Single-Host-Hoster betreibst
Du verkaufst ein paar Container-Slots an Freunde oder Freelancer? Dann bist du verantwortlich. Wer nicht patcht und seinen Tenants nicht Bescheid gibt, riskiert nicht nur Server-Zugriff, sondern auch persönliche Haftung. Jetzt der richtige Zeitpunkt für ein Schreiben an deine Mini-Kunden: „Wir haben die Engine aktualisiert. Hier ist die CVE. Hier ist eure Container-Liste.“
HINTERGRUND: Was diese Lücke über 2024-Fixes lehrt
Sicherheits-Patches sind manchmal wie das Stopfen eines Lochs in einer Hose: Wenn der Stoff drumherum schon dünn ist, reißt es daneben wieder auf. Genau das ist 2024 mit CVE-2024-41110 passiert. Der ursprüngliche Fix hat das eine HTTP-Verhalten korrigiert, aber Edge-Cases übersehen. 2026 schlägt der Folgefehler erbarmungslos zurück.
Lehre für deinen Stack: Vertrau nicht blind auf alte Sicherheits-Mitteilungen. Auch ein gepatchter Bug bleibt verdächtig. Wenn dein Compliance-Setup auf einem AuthZ-Plugin steht, halte zusätzlich Linux-User-Namespaces oder rootless Docker als zweite Schicht bereit. Verteidigung in der Tiefe ist 2026 nicht mehr Buzzword, sondern handfeste Versicherung gegen genau diese Wiederholungen.
BONUS-CHECK: Wenn du Container in einer Multi-Tenant-Umgebung faehrst, schau dir zusaetzlich die --userns-remap-Option und rootless Docker an. Selbst wenn ein AuthZ-Plugin umgangen wird, schuetzt rootless den Host noch eine Stufe weiter. Heute den Patch ziehen, am Wochenende rootless testen – dann hast du diese Sache fest im Griff.
FAZIT: Authorization-Plugins waren nie unfehlbar
Docker Engine ist ein Stück Server-Infrastruktur, das in 2026 in fast jedem Homelab und Mittelstands-Stack steckt. Eine 8.8er-Lücke, die seit 2024 schwelte, ist ein laute Erinnerung: Auch reife Software hat Schichten, in denen Bugs jahrelang überleben. Update auf 29.3.1, sichere deine Auth-Logs, kommunizier es an Tenants. So bleibst du Boss – und nicht der Angreifer.