BT

Dockerが重大なセキュリティフィックスを含むバージョン1.4.0と1.3.3をリリース

| 作者: Carlos Sanchez フォローする 0 人のフォロワー , 翻訳者 吉田 英人 フォローする 0 人のフォロワー 投稿日 2015年1月7日. 推定読書時間: 3 分 |

原文(投稿日:2014/12/15)へのリンク

Dockerプロジェクトがバージョン1.4.0と1.3.3をリリースした。バグフィックスとプラットフォーム安定化を主目的として,これまでのバージョンで発見された,いくつかの重大なセキュリティ問題に対処している。

今回のリリースでは,悪意のあるDockerfileやイメージ,あるいはレジストリによって,Dockerホストが棄損されたり,あるいは公式イメージへのなりすましが行われる脆弱性が修正された。これらの問題点はバージョン1.3.2までのすべてのDockerに影響するため,Dockerユーザにはアップグレードが推奨されている。

[CVE-2014-6407] ホスト権限昇格が可能なアーカイブ抽出

バージョン1.3.1以前のDockerエンジンには,docker pulldocker loadオペレーション中に,ホスト上の任意のパスへのファイル抽出が可能な脆弱性があった。この脆弱性は,Dockerのイメージ抽出にある,シンボリックリンクとハードリンクのトラバースを原因とするもので,リモートコード実行および権限昇格に利用される可能性があった。

pkg/archiveにチェックが追加され,イメージ抽出はchroot内部で実行されるように変更された。旧バージョンのDockerに対する修正は提供されない。

[CVE-2014-6408] イメージに適用されるセキュリティオプションによるコンテナ昇格の可能性

バージョン1.3.0から1.3.1までのDockerには,イメージに適用するセキュリティオプションが用意されていて,それらのイメージ実行時に,コンテナのデフォルト実行プロファイルを修正することが可能だった。この脆弱性によって,悪意のあるイメージ製作者は,コンテナのプロセスに適用されている制限を緩和することが可能になるため,潜在的なブレークアウトの可能性があった。

イメージに適用されるセキュリティオプションはDockerエンジンによって参照されず,無視されるように変更された。

[CVE-2014-9356] 絶対シンボリックリンク処理中のパストラバーサル

絶対パス指定のシンボリックリンクの処理において,パストラバーサル攻撃が可能である。シンボリックリンクのトラバーサルに関するチェックにおいて,相対リンクのみが考慮されていた。これにより,通常ならば禁止されるべき場所へのパストラバーサルが可能になる。この脆弱性は,アーカイブ抽出およびボリュームマウントにおいて悪用される可能性があった。

この脆弱性により,悪意のあるイメージ,あるいは悪意のあるDockerfileによるビルドによってホストシステムにファイルを書き込むことで,コンテナ化が回避され,権限の昇格が可能になる。

[CVE-2014-9358] イメージ識別子を通じたパストラバーサルとなりすましの可能性

docker loadあるいはレジストリとの通信を通じて提供されるイメージIDの検証が,Dockerでは十分に実施されていない。このためパストラバーサル攻撃が可能となり,悪意のあるイメージによるグラフの改変や操作を引き起こしたり,あるいはリポジトリスプーリング攻撃の可能性がある。

Dockerはネームスペースや機能,およびcgroupに,Linuxのセキュリティ機構とアイソレーションを使用している。libcontainerあるいはlxcを通じて実装されたこれらの機能と,システム毎にサポートされるSELinuxとAppArmorとを合わせて利用する。1.3以降,Docker Hub公式リポジトリイメージは署名されている。ユーザによるイメージ署名は将来的にサポート予定だ。

Docker 1.4では実験的ストレージドライバとして,新たにオーバーレイファイルシステムが加わった。オーバーレイファイルシステムは,他のファイルシステムとの結合マウント(Union Mount)を実装したファイルシステムで,Linux 3.18のメインラインに含まれる予定だ。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

特集コンテンツ一覧

.NETの派生を理解する

Wayne Citrin 2018年7月18日 午前3時44分

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT