Dockerの認証プラグインに権限昇格などを可能にする脆弱性 急ぎ対処を：セキュリティニュースアラート

DockerはDocker Engineの特定のバージョンに認証プラグイン「AuthZ」をバイパスできる脆弱性が存在すると発表した。影響を受けるバージョンは特定されており、修正バージョンへのアップデートが推奨されている。

[後藤大地，有限会社オングス]

　Dockerは2024年7月23日（現地時間）、「Docker Engine」の特定のバージョンにおいて認証プラグイン「AuthZ」をバイパスできる脆弱（ぜいじゃく）性があると発表した。

Dockerが認証プラグインの脆弱性を報告　急ぎアップデートを

　Dockerのデフォルトの認証モデルでは「Dockerデーモン」にアクセスできるユーザーは任意のDockerコマンドを実行できてしまう。そのためアクセス制御を強化するためにAuthZプラグインが使用される。AuthZプラグインによってユーザーの認証とコマンドのコンテキストに基づいてリクエストを承認または拒否できる。

　2018年にこのプラグインに特別に細工したAPIリクエストを使用してAuthZプラグインをバイパスできるという脆弱性が発見されている。この脆弱性が悪用された場合、権限昇格などの不正なアクションが実行されてしまう可能性がある。この問題は2019年1月にリリースされた「Docker Engine バージョン18.09.1」で一度修正されている。しかし、修正がそれ以降のバージョンに引き継がれておらず、脆弱性が残ったままであることが明らかになった。

　この問題はAuthZプラグインに依存する「Docker Engine v19.03.x」以降のバージョンを使用するユーザーが影響を受ける。AuthZプラグインを使用していない場合や「Mirantis Container Runtime」の全バージョンのユーザーは影響を受けない。

　影響を受けるDocker Engineのバージョンは以下の通りだ。

• v19.03.15およびこれより前のバージョン
• v20.10.27およびこれより前のバージョン
• v23.0.14およびこれより前のバージョン
• v24.0.9およびこれより前のバージョン
• v25.0.5およびこれより前のバージョン
• v26.0.2およびこれより前のバージョン
• v26.1.4およびこれより前のバージョン
• v27.0.3およびこれより前のバージョン
• v27.1.0およびこれより前のバージョン

　修正されたDocker Engineのバージョンは以下の通りだ。

• v23.0.14より後のバージョン
• v26.1.4より後のバージョン
• v27.1.0より後のバージョン

　影響を受けるバージョンを使用している場合、問題修正済みのバージョンに速やかにアップデートすることが推奨されている。更新がすぐにできない場合は、AuthZプラグインの使用を避けることやDocker APIへのアクセスを信頼できるユーザーのみに制限することが推奨されている。