大手サイバーセキュリティー企業のWallarmは先日、Docker Engineバージョン18.09.1にCVE-2024-41110として識別される重大な脆弱性が発見されたというレポートを発表した。この脆弱性は2019年に最初に特定され修正されたが、パッチが他のメジャーバージョンにまで適用されず、リグレッションが発生している。この脆弱性にはCVSSスコア10が割り当てられており、その重大性を示している。
この脆弱性は、Dockerのアクセス制御システムにある。Dockerは、AuthZなどの高度な認証プラグインを使用して、Dockerデーモンへのユーザーアクセスを制御する。AuthZプラグインは、認証とコマンドコンテキストに基づいて、Dockerデーモンへのリクエストを承認または拒否する役割を担っている。しかし、ユーザーがAuthZプラグインをバイパスして、権限の昇格につながる可能性がある欠陥が特定されている。この欠陥は、Content-Lengthヘッダーが'0'に設定されたHTTPリクエストが送信されたときにトリガーされる。これにより、リクエストは本文なしでAuthZプラグインに転送され、拒否されるはずのリクエストが受け入れられることになる。
Dockerのデフォルトの認証モデルは、全てまたは何もないという原則で動作する。つまり、Dockerデーモンにアクセスできる全てのユーザーは、任意のDockerクライアントコマンドを実行できる。同じことが、DockerのEngine APIを使用する呼び出し元にも当てはまります。よりきめ細かなアクセス制御を提供するために、Dockerでは認証プラグインを作成してDockerデーモン構成に統合できる。これらのプラグインにより、Docker管理者は詳細なアクセスポリシーを設定して、Dockerデーモンとのやり取りの権限を管理できる。
この脆弱性を軽減するための当面の対策は、Docker Engineを最新バージョンに更新することだ。これが不可能な場合は、ユーザーはDocker APIへのアクセスを信頼できる関係者のみに制限し、最小権限の原則を実装して、ユーザーがタスクを実行するために必要な最小限のアクセスレベルを持つようにできる。AuthZプラグインを一時的に無効にすることでも、脆弱性の悪用を防ぐことができる。Docker EE v19.03.xおよびMirantis Container Runtimeの全てのバージョンは、この欠陥の影響を受けない。
出典:Wallarm
この製品の詳細については、製品ページをご覧ください。
