Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「hcsshim」に脆弱性、MSが定例外パッチ - 5月9日にPoCが公開予定

「Docker for Windows」で利用されているライブラリに深刻な脆弱性が見つかり、定例外でセキュリティアップデートがリリースされた。5月9日に詳細と実証コードがリリースされる予定だという。

20180504_ms_001.jpg
アップデートをリリースしたMS

「Windows Host Compute Service Shim(hcsshim)ライブラリ」は、「Windows Server」で「Docker」をはじめ、コンテナを起動させるために提供されているオープンソースソフトウェア。マイクロソフトが開発、提供している。

同ライブラリでは、「Go」の一部関数を利用する際に入力値のチェックに問題があり、細工されたコンテナイメージをインポートすると、ホスト上でファイルを作成されたり、削除、置換などが行われ、コードを実行されるおそれがある脆弱性「CVE-2018-8115」が存在することが明らかになったという。

同脆弱性は、Michael Hanselmann氏が発見したもので、同氏は2月に同社や「Docker」に報告。その後対応が進められてきた。マイクロソフトでは、アップデートとなる「同0.6.10」をリリース。脆弱性の深刻度を4段階中もっとも高い「緊急」とレーティングしている。

5月2日の時点で悪用は確認されておらず、同社は、悪用可能性指標については「3」とし、「悪用される可能性は非常に低い」と評価。一方で脆弱性を指摘したHanselmann氏は、脆弱性に関する詳細と実証コード(PoC)をマイクロソフトの同意のもと、5月9日にリリースする予定だとしている。

(Security NEXT - 2018/05/04 ) このエントリーをはてなブックマークに追加

PR

関連記事

公開情報からネット接続機器を検出、脆弱性を診断するサービス
10月中旬よりWPプラグイン「File Manager」の探索行為が増加
NETGEAR製スイッチの管理画面にCSRFの脆弱性
「JetBrains ToolBox」に深刻な脆弱性 - 開発者とNVDでわかれる評価
LINEで意図に反する大量の「グループ招待」「友だち追加」 - バグ検証から拡大か
「Drupal」にRCE脆弱性 - アップロードされたファイルの確認も
エプソン製品のインストーラに脆弱性 - 最新版の利用を
VMwareのアクセス管理製品に深刻な脆弱性 - パッチは準備中
「ウイルスバスター for Mac」旧版に複数脆弱性
Google、「Chrome 87」で33件のセキュリティに関する修正を実施