Dockerに認証バイパスの脆弱性が5年間潜在、アップデートを
マイナビニュース / 2024年7月25日 19時17分
Dockerは7月23日(米国時間)、「Docker Security Advisory: AuthZ Plugin Bypass Regression in Docker Engine|Docker」において、Docker Engineの特定のバージョンに認証プラグインをバイパスできる脆弱性が存在すると発表した。
○認証プラグイン(AuthZ)のバイパス脆弱性の概要
Dockerのデフォルトの認証モデルでは、DockerデーモンにアクセスできるすべてのユーザーはどんなDockerコマンドでも実行することが可能。このため、より高度なアクセス制御を行う場合には認証プラグイン(AuthZ)を使うことになる。このプラグインを使用することで、Dockerデーモンへのリクエストを認証とコマンドコンテキストに基づいて承認または拒否できるようになる。
Dockerの説明によれば、2018年にこの認証プラグイン(AuthZ)に脆弱性が発見された。脆弱性の内容は、サイバー攻撃者が特別に細工したAPIリクエストを使うことでAuthZプラグインを回避できるというもので、特権昇格につながる可能性が指摘されている。この脆弱性は2019年1月にリリースされたDocker Engine v18.09.1で修正されている。
しかしながら、この修正はこれ以降のバージョンには引き継がれなかったため、再び同じ脆弱性が発生していたことが明らかになった。5年間にわたってこの脆弱性が存在していたことになる。
○影響を受けるユーザー
この脆弱性はDocker Engine v19.03.x以降のバージョンを使っているユーザーで、アクセス制御の決定を認証プラグインに依存している場合に影響を受ける。
逆に、Docker Engine v19.03.x以降のバージョンでアクセス制御の決定を認証プラグインに頼らないユーザーや、Mirantis Container Runtimeのすべてのバージョンのユーザーはこの脆弱性の影響を受けない。AuthZプラグインに依存しないDocker商用製品および内部インフラストラクチャのユーザーも影響を受けないとされている。
Docker Desktopの場合、Docker Desktop v4.32.0までには影響を受けるバージョンのDocker Engineが含まれている。しかし、Docker Desktopへの影響は本番環境と比較して限定的だとされている。修正されたバージョンはDocker Desktop v4.33となる。
○脆弱性を抱えているバージョン
-
-
- 1
- 2
-
この記事に関連するニュース
-
ネットギア製無線LANルータに複数の脆弱性、確認とアップデートを
マイナビニュース / 2024年7月15日 18時57分
-
Apache HTTP Server 2.4、重要な脆弱性修正 - アップデートを
マイナビニュース / 2024年7月5日 7時32分
-
Windows Subsystem for Linuxガイド 第38回 WSL2でDockerを使う その4「ネットワーク接続Dockerエンジン編」
マイナビニュース / 2024年7月2日 13時42分
-
マンガアプリ「ピッコマ」の旧版に脆弱性、最新版は修正済
マイナビニュース / 2024年7月2日 13時23分
-
TP-Linkの無線LANルーターに脆弱性、アップデートを
マイナビニュース / 2024年6月30日 19時31分
ランキング
-
1「これが生えたら庭終了」 プロも降参する“何をやっても全部ムダな最恐雑草”の正体が400万再生「ほんとこれ厄介」「土ごと変えないと不可能」
ねとらぼ / 2024年7月25日 21時30分
-
2温水洗浄便座の異常、放置しないで──NITEが注意喚起 発火のおそれも
ITmedia NEWS / 2024年7月25日 19時13分
-
3人気Androidアプリにゼロデイ脆弱性、動画に扮してマルウェア感染
マイナビニュース / 2024年7月25日 9時12分
-
4性的同意サービス「キロク」の登録者数が1万人超え YouTubeでは利用例を漫画形式で紹介
ITmedia NEWS / 2024年7月25日 16時31分
-
5JR西、500系新幹線運転終了 国内初の時速300km営業を実現した名車が引退へ
ASCII.jp / 2024年7月25日 7時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)