Dockerとruncに4つの脆弱性が見つかる 悪用でホストOSにアクセスされるリスク：セキュリティニュースアラート

SynkはDockerとruncに「Leaky Vessels」という脆弱性が存在すると発表した。Leaky Vesselsは4つの脆弱性で構成されており、悪用されるとサイバー攻撃者がコンテナを越えてホストOSにアクセスするリスクがある。

[後藤大地，有限会社オングス]

　Snykは2024年1月31日（現地時間）、「Docker」と「runc」に「Leaky Vessels」と呼ばれる脆弱（ぜいじゃく）性が存在すると発表した。

SnykはDockerとruncに「Leaky Vessels」と呼ばれる脆弱性が存在すると発表した（出典：Snykのブログ）

Dockerとruncに潜む4つのセキュリティリスク　Snykが警鐘

　Leaky Vesselsは4つの脆弱性で構成されており、これらを悪用された場合、サイバー攻撃者がコンテナを抜け出してホストOSにアクセスする可能性がある。これらの脆弱性の中には深刻度が「緊急」（Critical）と分類されるものが含まれているため、該当プロダクトを使用している場合は情報を確認するとともに、必要に応じて対処することが求められる。

　Leaky Vesselsを構成する脆弱性の詳細は以下の通りだ。

• CVE-2024-21626：　内部ファイル記述子の漏えいによって新しく起動したコンテナプロセスにおいて、ホストのファイルシステム名前空間内の作業ディレクトリを保持できる脆弱性。これを悪用した場合、ホストファイルシステムへの不正アクセスやコンテナ環境からの脱走が可能になる
• CVE-2024-23651：　同じキャッシュマウントとサブパスを指定し、Dockerのビルドツールキット「BuildKit」を使って2つの構築処理を同時に実行することで競合状態が発生する脆弱性。これを悪用してホストシステムからビルドコンテナのファイルにアクセスできる可能性がある
• CVE-2024-23652：　細工されたBuildKitフロントエンドや「Dockerfile」の「RUN --mount」を使うことでホストシステムの任意のファイルまたは任意のディレクトリを削除できるリスクがある脆弱性
• CVE-2024-23653：　BuildKitのAPIを使用することで昇格した権限でコンテナを実行できる脆弱性

　脆弱性の影響を受けるプロダクトとバージョンは以下の通りだ。

• Docker BuildKit v0.12.4およびこれより前のバージョン
• runc 1.1.11およびこれより前のバージョン

　脆弱性が修正されたプロダクトとバージョンは以下の通りだ。

• Docker BuildKit v0.12.5
• runc 1.1.12

　プロジェクトやメンテナは既に脆弱性を修正したバージョンを公開しており、主要なプラットフォームやプロジェクトも対応するバージョンを公開している。また、SnykはLeaky Vesselsを検出するためのツールをオープンソースソフトウェアとして公開している。ただし、同ツールは偽陽性および偽陰性の結果を出す可能性があるため注意が必要だ。

• snyk/leaky-vessels-dynamic-detector: Leaky Vessels Dynamic Detector
• snyk/leaky-vessels-static-detector: Static detection tool for runc and Docker "Leaky Vessels" vulnerabilities