「hcsshim」に脆弱性、MSが定例外パッチ - 5月9日にPoCが公開予定

「Docker for Windows」で利用されているライブラリに深刻な脆弱性が見つかり、定例外でセキュリティアップデートがリリースされた。5月9日に詳細と実証コードがリリースされる予定だという。

アップデートをリリースしたMS

「Windows Host Compute Service Shim（hcsshim）ライブラリ」は、「Windows Server」で「Docker」をはじめ、コンテナを起動させるために提供されているオープンソースソフトウェア。マイクロソフトが開発、提供している。

同ライブラリでは、「Go」の一部関数を利用する際に入力値のチェックに問題があり、細工されたコンテナイメージをインポートすると、ホスト上でファイルを作成されたり、削除、置換などが行われ、コードを実行されるおそれがある脆弱性「CVE-2018-8115」が存在することが明らかになったという。

同脆弱性は、Michael Hanselmann氏が発見したもので、同氏は2月に同社や「Docker」に報告。その後対応が進められてきた。マイクロソフトでは、アップデートとなる「同0.6.10」をリリース。脆弱性の深刻度を4段階中もっとも高い「緊急」とレーティングしている。

5月2日の時点で悪用は確認されておらず、同社は、悪用可能性指標については「3」とし、「悪用される可能性は非常に低い」と評価。一方で脆弱性を指摘したHanselmann氏は、脆弱性に関する詳細と実証コード（PoC）をマイクロソフトの同意のもと、5月9日にリリースする予定だとしている。

（Security NEXT - 2018/05/04 ）ツイート