Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「hcsshim」に脆弱性、MSが定例外パッチ - 5月9日にPoCが公開予定

「Docker for Windows」で利用されているライブラリに深刻な脆弱性が見つかり、定例外でセキュリティアップデートがリリースされた。5月9日に詳細と実証コードがリリースされる予定だという。

20180504_ms_001.jpg
アップデートをリリースしたMS

「Windows Host Compute Service Shim(hcsshim)ライブラリ」は、「Windows Server」で「Docker」をはじめ、コンテナを起動させるために提供されているオープンソースソフトウェア。マイクロソフトが開発、提供している。

同ライブラリでは、「Go」の一部関数を利用する際に入力値のチェックに問題があり、細工されたコンテナイメージをインポートすると、ホスト上でファイルを作成されたり、削除、置換などが行われ、コードを実行されるおそれがある脆弱性「CVE-2018-8115」が存在することが明らかになったという。

同脆弱性は、Michael Hanselmann氏が発見したもので、同氏は2月に同社や「Docker」に報告。その後対応が進められてきた。マイクロソフトでは、アップデートとなる「同0.6.10」をリリース。脆弱性の深刻度を4段階中もっとも高い「緊急」とレーティングしている。

5月2日の時点で悪用は確認されておらず、同社は、悪用可能性指標については「3」とし、「悪用される可能性は非常に低い」と評価。一方で脆弱性を指摘したHanselmann氏は、脆弱性に関する詳細と実証コード(PoC)をマイクロソフトの同意のもと、5月9日にリリースする予定だとしている。

(Security NEXT - 2018/05/04 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Cisco Meraki 」にDoS脆弱性 - SSL VPN処理で強制再起動
「IBM QRadar SIEM」に複数脆弱性 - 修正パッチをリリース
ゲームサーバ管理ツール「Pterodactyl Panel」に脆弱性 - 悪用の動きも
構成管理ツール「Salt」に複数脆弱性 - 「クリティカル」も
「GeoTools」にXXE脆弱性 - 「GeoServer」なども影響
「Roundcube」にアップデート - 前バージョンの不具合を解消
Trend Microの暗号化管理製品にRCEや認証回避など深刻な脆弱性
マルウェア対策ソフト「ClamAV」に深刻な脆弱性 - パッチが公開
脆弱性スキャナ「Nessus」のWindows版エージェントに複数脆弱性
「Veeam Backup & Replication」に深刻な脆弱性 - アップデートで修正