Path confinement for `secrets.file` and `configs.file` in stack deploy

[MillaFleurs]

Description

We've found a path confinement issue in docker cli. Documentation is unclear if path confinement is expected, but I did want to raise as a security issue first.

Also I’ve been watching the push to harden docker including the new docker sandboxes so I am inclined to think that if this is not currently a vulnerability it will be considered so in the future.

Specifically, when docker stack deploy processes a compose file, secrets.file and configs.file paths are resolved relative to the project directory using filepath.Join, but the resolved path is not checked for confinement within that directory. A value like file: "../../etc/shadow" cleanly resolves to /etc/shadow, and the CLI reads the file and uploads its contents to the Swarm secret store. Absolute paths work too. This is handled by loadFileObjectConfig() in cli/compose/loader/loader.go:672, which calls absPath(), and the result is passed directly to os.ReadFile() in cli/compose/convert/compose.go:185.

We've confirmed this end-to-end against the current docker/cli source using a Go test that exercises the actual loader and converter. The canary file outside the project directory is read and packaged as a Swarm secret.

We recognize this is consistent with how Compose resolves relative paths today, and the documentation describes these paths as "relative to" the project directory without promising confinement. We're not framing this as a contract violation. However, secret and config file reads are unique among Compose path features because the file content leaves the operator's host machine. It's uploaded to the Swarm secret store and distributed to service containers. This is a data exfiltration path that doesn't exist with bind mounts (which give the container access to a host path but don't copy content off the host) or env_file (which stays local to the CLI process). An operator deploying a compose file from a shared repo, PR, or quickstart guide may not expect that a secrets.file directive causes reads outside the project tree and transmits the result to Swarm.

Given Docker's broader investment in hardened defaults like microVMs, build attestations, and content trust, we think confining secrets.file and configs.file resolution to the project directory would be a low-cost improvement that aligns with that direction. The docker/compose project added similar path confinement in the git loader (PR #13331) for content from untrusted sources; the same principle applies when the compose file itself is the untrusted input. The fix is approximately five lines at a single call site in loadFileObjectConfig() — a filepath.Clean plus a strings.HasPrefix check after the existing absPath call. It would not affect volume bind mounts or env_file, which have different documented semantics. We have a working POC and suggested patch available if helpful.

Steps to reproduce

1. Create a canary file outside the project directory

echo “MY SECRET" > /tmp/secret.txt```

Change /tmp/secret.txt to whatever works for you...

2. Create a compose file that traverses out of the project dir

Contents of the file if stored as /tmp/poc/test.yml (but you can change the file: to whatever makes sense for your path:

version: "3.8"
secrets:
  leaked:
    file: "../secret.txt"
services:
  app:
    image: alpine
    secrets: [leaked]
    command: ["cat", "/run/secrets/leaked"]

3. Deploy — the CLI reads /tmp/poc/secret.txt and uploads it as a Swarm secret

docker swarm init # if not already in swarm mode
docker stack deploy -c /tmp/poc/test.yml poc-test

# 4. Verify the secret was created with the canary content
docker service logs poc-test_app
# Output: MY SECRET

# Cleanup
docker stack rm poc-test
docker swarm leave --force

The traversal also works with absolute paths (file: "/etc/passwd") and deeper relative paths (file: "../../../../home/user/.ssh/id_rsa"). A Go unit test exercising the actual loader and converter code is available on request.

Here’s the proof:

PastedGraphic-1.png

Suggested fix

Add a confinement check in loadFileObjectConfig after the absPath call.
This is the only call site that needs it — env_file and volume bind mounts
have different documented semantics.

// cli/compose/loader/loader.go — inside loadFileObjectConfig, after line 672
default:
    obj.File = absPath(details.WorkingDir, obj.File)

    // Verify resolved path stays within the project directory
    cleanBase := filepath.Clean(details.WorkingDir) + string(filepath.Separator)
    cleanFile := filepath.Clean(obj.File)
    if !strings.HasPrefix(cleanFile+string(filepath.Separator), cleanBase) {
        return obj, fmt.Errorf(
            "%s %s: file path %q resolves to %q, which is outside the project directory",
            objType, name, obj.File, cleanFile,
        )
    }

This is ~5 lines at a single call site. It covers both secrets and configs
since both go through loadFileObjectConfig.

[hoangvutru858-beep]

Sự miêu tả

Chúng tôi đã phát hiện ra một vấn đề về giới hạn đường dẫn trong docker cli. Tài liệu không rõ ràng về việc liệu giới hạn đường dẫn có phải là điều được mong đợi hay không, nhưng trước tiên tôi muốn nêu vấn đề này như một vấn đề bảo mật.

Tôi cũng đang theo dõi nỗ lực tăng cường bảo mật cho Docker, bao gồm cả các môi trường sandbox mới của Docker, vì vậy tôi nghiêng về suy nghĩ rằng nếu hiện tại đây chưa phải là một lỗ hổng bảo mật thì trong tương lai nó sẽ được xem xét như vậy.

Cụ thể, khi docker stack deployxử lý một tệp compose, secrets.filecác configs.fileđường dẫn được giải quyết tương đối so với thư mục dự án bằng cách sử dụng filepath.Join, nhưng đường dẫn được giải quyết không được kiểm tra xem có bị giới hạn trong thư mục đó hay không. Một giá trị như file: "../../etc/shadow"sẽ được giải quyết một cách chính xác thành /etc/shadow, và CLI sẽ đọc tệp và tải nội dung của nó lên kho bí mật Swarm. Đường dẫn tuyệt đối cũng hoạt động. Điều này được xử lý bởi loadFileObjectConfig()trong cli/compose/loader/loader.go:672, gọi absPath(), và kết quả được chuyển trực tiếp đến os.ReadFile()trong cli/compose/convert/compose.go:185.

Chúng tôi đã xác nhận toàn diện điều này bằng cách so sánh với mã nguồn docker/cli hiện tại thông qua một bài kiểm tra Go, bài kiểm tra này sẽ kiểm tra trình tải và trình chuyển đổi thực tế. Tệp canary nằm ngoài thư mục dự án được đọc và đóng gói dưới dạng một secret của Swarm.

Chúng tôi nhận thấy điều này phù hợp với cách Compose giải quyết các đường dẫn tương đối hiện nay, và tài liệu mô tả các đường dẫn này là "tương đối so với" thư mục dự án mà không đảm bảo tính bảo mật. Chúng tôi không coi đây là vi phạm hợp đồng. Tuy nhiên, việc đọc các tệp bí mật và cấu hình là duy nhất trong số các tính năng đường dẫn của Compose vì nội dung tệp rời khỏi máy chủ của người vận hành. Nó được tải lên kho lưu trữ bí mật của Swarm và được phân phối đến các container dịch vụ. Đây là một đường dẫn rò rỉ dữ liệu không tồn tại với bind mount (cung cấp cho container quyền truy cập vào đường dẫn trên máy chủ nhưng không sao chép nội dung ra khỏi máy chủ) hoặc env_file(chỉ lưu trữ cục bộ trong tiến trình CLI). Người vận hành triển khai tệp compose từ kho lưu trữ dùng chung, PR hoặc hướng dẫn khởi động nhanh có thể không ngờ rằng một secrets.filechỉ thị gây ra việc đọc dữ liệu bên ngoài cây dự án và truyền kết quả đến Swarm.

Với khoản đầu tư rộng rãi hơn của Docker vào các thiết lập mặc định được tăng cường như microVM, xác thực bản dựng và độ tin cậy nội dung, chúng tôi cho rằng việc giới hạn secrets.filevà configs.filegiải quyết vấn đề trong thư mục dự án sẽ là một cải tiến chi phí thấp, phù hợp với hướng đi đó. Dự án docker/compose đã thêm tính năng giới hạn đường dẫn tương tự trong git loader (PR #13331) đối với nội dung từ các nguồn không đáng tin cậy; nguyên tắc tương tự cũng áp dụng khi chính tệp compose là đầu vào không đáng tin cậy. Bản sửa lỗi chỉ gồm khoảng năm dòng tại một vị trí gọi duy nhất trong loadFileObjectConfig()— filepath.Cleancộng thêm một strings.HasPrefixbước kiểm tra sau khi absPathgọi hàm hiện có. Nó sẽ không ảnh hưởng đến các bind mount volume hoặc env_file, vốn có ngữ nghĩa được ghi chép khác nhau. Chúng tôi có một bản thử nghiệm hoạt động và bản vá được đề xuất nếu hữu ích.

Các bước để tái hiện

1. Tạo một tập tin thử nghiệm (canary file) bên ngoài thư mục dự án.

echo “MY SECRET" > /tmp/secret.txt```

Change /tmp/secret.txt to whatever works for you...

2. Create a compose file that traverses out of the project dir

Contents of the file if stored as /tmp/poc/test.yml (but you can change the file: to whatever makes sense for your path:

version: "3.8"
secrets:
  leaked:
    file: "../secret.txt"
services:
  app:
    image: alpine
    secrets: [leaked]
    command: ["cat", "/run/secrets/leaked"]

3. Deploy — the CLI reads /tmp/poc/secret.txt and uploads it as a Swarm secret

docker swarm init # nếu chưa ở chế độ swarm docker stack deploy -c /tmp/poc/test.yml poc-test

# 4. Verify the secret was created with the canary content
docker service logs poc-test_app
# Output: MY SECRET

# Cleanup
docker stack rm poc-test
docker swarm leave --force

Quá trình duyệt cũng hoạt động với các đường dẫn tuyệt đối ( file: "/etc/passwd") và các đường dẫn tương đối sâu hơn ( file: "../../../../home/user/.ssh/id_rsa"). Một bài kiểm tra đơn vị Go thực thi mã trình tải và trình chuyển đổi thực tế có sẵn theo yêu cầu.

Đây là bằng chứng:

PastedGraphic-1.png

Giải pháp được đề xuất

Thêm bước kiểm tra giới hạn truy cập loadFileObjectConfigsau khi absPathgọi hàm. Đây là vị trí gọi hàm duy nhất cần điều này — env_filevà các điểm gắn kết ổ đĩa có ngữ nghĩa được ghi chép khác nhau.

// cli/compose/loader/loader.go — inside loadFileObjectConfig, after line 672
default:
obj.File = absPath(details.WorkingDir, obj.File)

// Verify resolved path stays within the project directory
cleanBase := filepath.Clean(details.WorkingDir) + string(filepath.Separator)
cleanFile := filepath.Clean(obj.File)
if !strings.HasPrefix(cleanFile+string(filepath.Separator), cleanBase) {
    return obj, fmt.Errorf(
        "%s %s: file path %q resolves to %q, which is outside the project directory",
        objType, name, obj.File, cleanFile,
    )
}

Đây là khoảng 5 dòng tại một vị trí gọi hàm duy nhất. Nó bao gồm cả thông tin bí mật và cấu hình vì cả hai đều được truyền qua loadFileObjectConfig.

[MillaFleurs]

@hoangvutru858-beep Đây là một phát hiện xuất sắc. Tôi xin lỗi vì tôi không nói tiếng Việt tốt lắm, nhưng tôi nghĩ vấn đề này cần được chuyển lên cho đội bảo mật tại security@docker.com. Vui lòng liên hệ trực tiếp với tôi nếu bạn cần hỗ trợ.

Dan
dan@kd2ycu.com