Last Updated on 2024-07-03 04:53 by admin
研究者たちは、コンテナエンジンコンポーネントにおける4つの脆弱性を発見し、「Leaky Vessels」と名付けました。このうち3つは、攻撃者がコンテナから脱出し、基盤となるホストシステム上で悪意のある行動を実行する手段を提供します。最も緊急性が高いとされる脆弱性はCVE-2024-21626で、Dockerおよびその他のコンテナ環境のための軽量コンテナランタイムであるrunCに影響を与え、CVSSスケールで8.6の重大度スコアが付けられています。この脆弱性は、コンテナのビルド時および実行時にコンテナ脱出を可能にします。
他の3つの脆弱性は、DockerのデフォルトのコンテナイメージビルディングツールキットであるBuildKitに影響を及ぼします。一つは、ランタイム中にキャッシュレイヤーがマウントされる方法に関連する競合状態(CVE-2024-23651)、もう一つはBuildKitのリモートプロシージャコールプロトコルのセキュリティモデルに影響を与えるもの(CVE-2024-23653)、最後の脆弱性はBuildKit内のファイル削除の欠陥(CVE-2024-23652)です。
セキュリティベンダーは、コンテナランタイム環境を提供するベンダーからのアップデートを確認するよう組織に助言しています。これにはDocker、Kubernetesベンダー、クラウドコンテナサービス、オープンソースコミュニティが含まれます。影響を受けるコンテナイメージコンポーネントとビルドツールの広範な使用が、プロバイダーが利用可能にするとすぐに修正版にアップグレードする理由とされています。
Sysdigによる昨年の調査では、本番環境で使用されているコンテナイメージの87%に少なくとも1つの高度または重大な脆弱性が存在することが明らかにされました。Rezilionによる2023年の研究では、標準の脆弱性検出ツールやソフトウェア構成分析ツールでは検出できない脆弱性を含む数百のDockerコンテナイメージが発見されました。
【ニュース解説】
研究者たちが「Leaky Vessels」と名付けた4つの脆弱性が、コンテナエンジンコンポーネントで発見されました。これらの脆弱性のうち3つは、攻撃者がコンテナから脱出し、基盤となるホストシステム上で悪意ある行動を実行する可能性を提供します。特に注目されるのは、Dockerやその他のコンテナ環境における軽量コンテナランタイムであるrunCに影響を与えるCVE-2024-21626という脆弱性です。この脆弱性は、コンテナのビルド時および実行時に脱出を可能にし、CVSSスケールで8.6の重大度スコアが付けられています。
他の3つの脆弱性は、DockerのデフォルトのコンテナイメージビルディングツールキットであるBuildKitに関連しています。これらは、キャッシュレイヤーのマウント方法、リモートプロシージャコールプロトコルのセキュリティモデル、ファイル削除の欠陥に関するものです。
この問題の重要性は、コンテナ技術がクラウドネイティブ開発の中心となっている現代において、広範囲にわたる影響を及ぼす可能性があることです。コンテナは、アプリケーションのビルド、配布、実行を簡素化し、環境間の移植性を高めるために広く使用されています。そのため、これらの脆弱性は、多くの組織や開発者にとって直接的なセキュリティリスクをもたらします。
セキュリティベンダーは、影響を受けるコンテナランタイム環境を提供するベンダーからのアップデートを確認し、修正版にアップグレードすることを推奨しています。このような脆弱性の存在は、セキュリティ対策の重要性を再認識させるとともに、開発プロセスにおけるセキュリティの組み込みを促進する契機となります。
一方で、この問題は、コンテナ技術のセキュリティに対する認識を変える可能性もあります。過去には、コンテナ化がアプリケーションのセキュリティを向上させると考えられていましたが、脆弱性の発見とその潜在的な影響は、セキュリティ対策の強化とリスク管理の重要性を浮き彫りにしています。
長期的な視点では、このような脆弱性の発見と対応は、コンテナ技術とセキュリティ対策の進化に貢献すると期待されます。セキュリティは常に進化する脅威に対応するために、技術的な進歩とともに進化し続ける必要があります。今回の「Leaky Vessels」の発見は、コンテナ技術のセキュリティ強化に向けた一歩となるでしょう。
from 'Leaky Vessels' Cloud Bugs Allow Container Escapes Globally.
