Linuxにコンテナエスケープの脆弱性 該当条件の確認と更新を

Linuxのコンテナをエスケープできる脆弱性が発見された。正しくセキュリティ機能を適用していればエスケープを回避できるが、条件を満たす場合はエスケープやユーザーの特権昇格が可能になるという。

» 2022年03月08日 07時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Palo Alto Networksは2022年3月3日(現地時間)、「Linux」カーネルの脆弱(ぜいじゃく)性(CVE-2022-0492)について報じた。

 CVE-2022-0492を悪用すれば、Linuxでリソース分離やリソース制限を利用してコンテナを構築する場合に、コンテナからのエスケープが可能になる他、ユーザーの特権昇格やプロセスの特権昇格が可能になるとされている。

 全てのコンテナがエスケープ可能になるわけではないが、該当する場合には迅速にカーネルアップデートの適用が推奨されている。

Palo Alto Networksは、CVE-2022-0492について報じた(出典:Palo Alto NetworksのWebページ)

コンテナエスケープが可能になる条件とは?

 Palo Alto Networksによれば、多くのコンテナはデフォルトのセキュリティ機能で十分にエスケープを防御できるが、デフォルトの構成を採用していないケースや、ベストプラクティス的なセキュリティ機能を利用していないケース、追加で特権を与えているケースなどでリスクが生じる可能性がある。

Copyright © ITmedia, Inc. All Rights Reserved.