BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Dockerが重大なセキュリティフィックスを含むバージョン1.4.0と1.3.3をリリース

Dockerが重大なセキュリティフィックスを含むバージョン1.4.0と1.3.3をリリース

ブックマーク

原文(投稿日:2014/12/15)へのリンク

Dockerプロジェクトがバージョン1.4.0と1.3.3をリリースした。バグフィックスとプラットフォーム安定化を主目的として,これまでのバージョンで発見された,いくつかの重大なセキュリティ問題に対処している。

今回のリリースでは,悪意のあるDockerfileやイメージ,あるいはレジストリによって,Dockerホストが棄損されたり,あるいは公式イメージへのなりすましが行われる脆弱性が修正された。これらの問題点はバージョン1.3.2までのすべてのDockerに影響するため,Dockerユーザにはアップグレードが推奨されている。

[CVE-2014-6407] ホスト権限昇格が可能なアーカイブ抽出

バージョン1.3.1以前のDockerエンジンには,docker pulldocker loadオペレーション中に,ホスト上の任意のパスへのファイル抽出が可能な脆弱性があった。この脆弱性は,Dockerのイメージ抽出にある,シンボリックリンクとハードリンクのトラバースを原因とするもので,リモートコード実行および権限昇格に利用される可能性があった。

pkg/archiveにチェックが追加され,イメージ抽出はchroot内部で実行されるように変更された。旧バージョンのDockerに対する修正は提供されない。

[CVE-2014-6408] イメージに適用されるセキュリティオプションによるコンテナ昇格の可能性

バージョン1.3.0から1.3.1までのDockerには,イメージに適用するセキュリティオプションが用意されていて,それらのイメージ実行時に,コンテナのデフォルト実行プロファイルを修正することが可能だった。この脆弱性によって,悪意のあるイメージ製作者は,コンテナのプロセスに適用されている制限を緩和することが可能になるため,潜在的なブレークアウトの可能性があった。

イメージに適用されるセキュリティオプションはDockerエンジンによって参照されず,無視されるように変更された。

[CVE-2014-9356] 絶対シンボリックリンク処理中のパストラバーサル

絶対パス指定のシンボリックリンクの処理において,パストラバーサル攻撃が可能である。シンボリックリンクのトラバーサルに関するチェックにおいて,相対リンクのみが考慮されていた。これにより,通常ならば禁止されるべき場所へのパストラバーサルが可能になる。この脆弱性は,アーカイブ抽出およびボリュームマウントにおいて悪用される可能性があった。

この脆弱性により,悪意のあるイメージ,あるいは悪意のあるDockerfileによるビルドによってホストシステムにファイルを書き込むことで,コンテナ化が回避され,権限の昇格が可能になる。

[CVE-2014-9358] イメージ識別子を通じたパストラバーサルとなりすましの可能性

docker loadあるいはレジストリとの通信を通じて提供されるイメージIDの検証が,Dockerでは十分に実施されていない。このためパストラバーサル攻撃が可能となり,悪意のあるイメージによるグラフの改変や操作を引き起こしたり,あるいはリポジトリスプーリング攻撃の可能性がある。

Dockerはネームスペースや機能,およびcgroupに,Linuxのセキュリティ機構とアイソレーションを使用している。libcontainerあるいはlxcを通じて実装されたこれらの機能と,システム毎にサポートされるSELinuxとAppArmorとを合わせて利用する。1.3以降,Docker Hub公式リポジトリイメージは署名されている。ユーザによるイメージ署名は将来的にサポート予定だ。

Docker 1.4では実験的ストレージドライバとして,新たにオーバーレイファイルシステムが加わった。オーバーレイファイルシステムは,他のファイルシステムとの結合マウント(Union Mount)を実装したファイルシステムで,Linux 3.18のメインラインに含まれる予定だ。

この記事に星をつける

おすすめ度
スタイル

BT