ニュース
Dockerとruncに4つの脆弱性が見つかる 悪用でホストOSにアクセスされるリスク:セキュリティニュースアラート
SynkはDockerとruncに「Leaky Vessels」という脆弱性が存在すると発表した。Leaky Vesselsは4つの脆弱性で構成されており、悪用されるとサイバー攻撃者がコンテナを越えてホストOSにアクセスするリスクがある。
Snykは2024年1月31日(現地時間)、「Docker」と「runc」に「Leaky Vessels」と呼ばれる脆弱(ぜいじゃく)性が存在すると発表した。
Dockerとruncに潜む4つのセキュリティリスク Snykが警鐘
Leaky Vesselsは4つの脆弱性で構成されており、これらを悪用された場合、サイバー攻撃者がコンテナを抜け出してホストOSにアクセスする可能性がある。これらの脆弱性の中には深刻度が「緊急」(Critical)と分類されるものが含まれているため、該当プロダクトを使用している場合は情報を確認するとともに、必要に応じて対処することが求められる。
Leaky Vesselsを構成する脆弱性の詳細は以下の通りだ。
- CVE-2024-21626: 内部ファイル記述子の漏えいによって新しく起動したコンテナプロセスにおいて、ホストのファイルシステム名前空間内の作業ディレクトリを保持できる脆弱性。これを悪用した場合、ホストファイルシステムへの不正アクセスやコンテナ環境からの脱走が可能になる
- CVE-2024-23651: 同じキャッシュマウントとサブパスを指定し、Dockerのビルドツールキット「BuildKit」を使って2つの構築処理を同時に実行することで競合状態が発生する脆弱性。これを悪用してホストシステムからビルドコンテナのファイルにアクセスできる可能性がある
- CVE-2024-23652: 細工されたBuildKitフロントエンドや「Dockerfile」の「RUN --mount」を使うことでホストシステムの任意のファイルまたは任意のディレクトリを削除できるリスクがある脆弱性
- CVE-2024-23653: BuildKitのAPIを使用することで昇格した権限でコンテナを実行できる脆弱性
脆弱性の影響を受けるプロダクトとバージョンは以下の通りだ。
- Docker BuildKit v0.12.4およびこれより前のバージョン
- runc 1.1.11およびこれより前のバージョン
脆弱性が修正されたプロダクトとバージョンは以下の通りだ。
- Docker BuildKit v0.12.5
- runc 1.1.12
プロジェクトやメンテナは既に脆弱性を修正したバージョンを公開しており、主要なプラットフォームやプロジェクトも対応するバージョンを公開している。また、SnykはLeaky Vesselsを検出するためのツールをオープンソースソフトウェアとして公開している。ただし、同ツールは偽陽性および偽陰性の結果を出す可能性があるため注意が必要だ。
関連記事
- 「セキュリティ人材が足りない……」と嘆く前に 企業に必要なのは“懐の深さ”だ
セキュリティ人材の不足が世の中で叫ばれていますが、人材不足を嘆く前に自社が従業員の才能を伸ばせる環境かどうかを再考してみるといいかもしれません。 - Cloudflareで不正アクセスが発生 2023年9月のOktaへの侵害がきっかけか
Cloudflareは2023年11月に検出した脅威アクターに関する調査結果を報告した。脅威アクターは2023年9月に発生したOktaへの侵害で窃取されたアクセストークンとサービスアカウントの認証情報を使用してサーバに不正アクセスした。 - いざサイバーレジリエンスを実践 これだけはやっておきたい3つの対策
サイバーレジリエンスを詳細に解説してきた本連載。最終回はこれを高める14の手法のうち、これだけはやっておきたい3つの対策を紹介します。 - Contiの解析から判明した“攻撃者エコシステムの実態”と“EDRの限界”
今やランサムウェアグループは分業化などが進み、組織はますます高度化している。著名なランサムウェアグループContiの実態と攻撃手法から、EDRの限界が見えてきた。
関連リンク
- snyk/leaky-vessels-dynamic-detector: Leaky Vessels Dynamic Detector
- snyk/leaky-vessels-static-detector: Static detection tool for runc and Docker "Leaky Vessels" vulnerabilities
- NVD - CVE-2024-21626
- NVD - CVE-2024-23651
- NVD - CVE-2024-23652
- NVD - CVE-2024-23653
- Leaky Vessels: Docker and runc Container Breakout Vulnerabilities - January 2024|Snyk
Copyright © ITmedia, Inc. All Rights Reserved.