BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース 公開されているDockerイメージに対する脆弱性調査の結果がリリースされた

公開されているDockerイメージに対する脆弱性調査の結果がリリースされた

原文(投稿日:2017/03/30)へのリンク

Federacyの研究者が、公開リポジトリ上にあるDockerイメージの脆弱性を分析した報告書を公開した。それによると、イメージの24%に重大な脆弱性が存在し、Ubuntuベースのものが最も多く、Debianベースが最も少ない。

調査では133の公開Dockerリポジトリ中の91を対象に、主要なLinuxディストリビューションのイメージをベースに動作可能なパッケージマネージャを備えたイメージから、‘latest’のタグが付いたものをスキャンした。イメージのスキャンには、オープンソースの脆弱性スキャナであるvulsの修正版が使用された。vulsはGoで記述されていて、LinuxとFreeBSDをサポートする。取得したデータは、Federacyが開発した社内用ツールによって分析された。vulsはAlpineと静的バイナリをサポートしていないため、それらは対象外となっている。スコアリングはCVSS v2標準に従って実施された。

スキャンされたイメージの24%に重大な脆弱性があり、その約11%が緊急度高、13%が中、その他は潜在的な脆弱性と判定された。スキャン対象となったLinuxディストリビューションは、Ubuntu、Debian、RHELなどだ。Ubuntuベースのイメージに全体的な脆弱性の数が最も多い(27%)のに対して、最も脆弱性の低いディストリビューションはDebian(8%)だった。ただし、ベースとなるUbuntuのイメージに既知の脆弱性は存在しなかった。これはつまり、報告された内容は、イメージ作成者が他のパッケージやコンフィギュレーションを変更した結果によるものである、ということだ。ちなみに、Debianが公式リポジトリで最も多いベースディストリビューション(79%)である一方で、Ubuntuはわずか16%に過ぎなかった。RHELのサンプルは、他に比べて非常に数が少なかった(4%)。


イメージ提供: https://www.federacy.com/docker_image_vulnerabilities

DebianとUbuntuのいずれも、古いリリースほど発見された障害の数も少なかった。考えられる原因の1つとして、新しいディストリビューションリリースほどインストールされるパッケージが少なく、結果として攻撃面が小さくなったことがあげられる。過去の同種のレポートでは、DockerHubにあるイメージの30%に対して緊急度の高い脆弱性が挙げられていた。

Ubuntuに限らず、全体として最も多い脆弱性はSSL Death Alertだった。これにはGnuTLSやOpenSSL、あるいはnginxのようにNSSに対してコンパイルされたソフトウェアに対して、DoS攻撃を引き起こすために利用される可能性がある。Debianについては、最も多いものは重大ではあるが、キャッシュのタイミング攻撃やシステムへのローカルアクセスに関連するものであるため、影響を受けることはほとんどない。

Dockerイメージに利用可能なスキャナはvulsだけではない。vulsはパッケージマネージャにインストールされているパッケージやバージョン、変更履歴を問い合わせた上で、その変更ログからCVEを参照して、NVD(National Vulnerability Database)の内容と比較することで動作する。別のスキャナであるClairは、Quay.ioイメージリポジトリや、Kubernetesコミュニティがメンテナンスするイメージに対して使用されているTwistlockのような商用ベンダもあり、さまざまなクラウドプラットフォームに統合されている。

報告書ではイメージに内在するリスクを取り上げてはいるが、それらへの対処方法には詳しく触れていない。考えられる対応策は、イメージ構築プロセス中にインストール済みパッケージをアップデートする、実行時にパッケージ自動アップデートを利用する、イメージ構築プロセス中に脆弱性分析を加える、といったものだ。別の案として、Alpine Linuxあるいは同種のディストリビューションを使用する、静的なバイナリイメージを使用する、といった方法もある。

 
 

この記事を評価

関連性
スタイル
 
 

この記事に星をつける

おすすめ度
スタイル

BT