Dockerの認証プラグインに権限昇格などを可能にする脆弱性 急ぎ対処を:セキュリティニュースアラート
DockerはDocker Engineの特定のバージョンに認証プラグイン「AuthZ」をバイパスできる脆弱性が存在すると発表した。影響を受けるバージョンは特定されており、修正バージョンへのアップデートが推奨されている。
Dockerは2024年7月23日(現地時間)、「Docker Engine」の特定のバージョンにおいて認証プラグイン「AuthZ」をバイパスできる脆弱(ぜいじゃく)性があると発表した。
Dockerが認証プラグインの脆弱性を報告 急ぎアップデートを
Dockerのデフォルトの認証モデルでは「Dockerデーモン」にアクセスできるユーザーは任意のDockerコマンドを実行できてしまう。そのためアクセス制御を強化するためにAuthZプラグインが使用される。AuthZプラグインによってユーザーの認証とコマンドのコンテキストに基づいてリクエストを承認または拒否できる。
2018年にこのプラグインに特別に細工したAPIリクエストを使用してAuthZプラグインをバイパスできるという脆弱性が発見されている。この脆弱性が悪用された場合、権限昇格などの不正なアクションが実行されてしまう可能性がある。この問題は2019年1月にリリースされた「Docker Engine バージョン18.09.1」で一度修正されている。しかし、修正がそれ以降のバージョンに引き継がれておらず、脆弱性が残ったままであることが明らかになった。
この問題はAuthZプラグインに依存する「Docker Engine v19.03.x」以降のバージョンを使用するユーザーが影響を受ける。AuthZプラグインを使用していない場合や「Mirantis Container Runtime」の全バージョンのユーザーは影響を受けない。
影響を受けるDocker Engineのバージョンは以下の通りだ。
- v19.03.15およびこれより前のバージョン
- v20.10.27およびこれより前のバージョン
- v23.0.14およびこれより前のバージョン
- v24.0.9およびこれより前のバージョン
- v25.0.5およびこれより前のバージョン
- v26.0.2およびこれより前のバージョン
- v26.1.4およびこれより前のバージョン
- v27.0.3およびこれより前のバージョン
- v27.1.0およびこれより前のバージョン
修正されたDocker Engineのバージョンは以下の通りだ。
- v23.0.14より後のバージョン
- v26.1.4より後のバージョン
- v27.1.0より後のバージョン
影響を受けるバージョンを使用している場合、問題修正済みのバージョンに速やかにアップデートすることが推奨されている。更新がすぐにできない場合は、AuthZプラグインの使用を避けることやDocker APIへのアクセスを信頼できるユーザーのみに制限することが推奨されている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
世界規模で起きたWindowsブルスク問題 MicrosoftとCrowdStrikeが支援策公表
2024年7月19日に全世界的に「Windows」のPCでブルースクリーンが表示される大規模障害が発生した件について、MicrosoftとCrowdstrikeがインシデントの原因や対応策を公開した。
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
セキュリティ担当者がいま学びたいプログラミング言語とは?
Linux FoundationとOpenSSFが安全なソフトウェア開発教育に関するレポート「Secure Software Development Education 2024 Survey」を公開した。調査から、多くのセキュリティ担当者が積極的に学びたいと考えているプログラミング言語が判明した。
「サイバー攻撃はお金がかかる」 当たり前の結論から見えた新たな気付き
JNSAが「サイバー攻撃を受けるとお金がかかる〜インシデント損害額調査レポートから考えるサイバー攻撃の被害額〜」というストレートなタイトルの資料を公開しました。この資料から企業が次にやるべきことが見えてきました。