Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「runc」に脆弱性、コンテナからホスト管理者権限でコード実行されるおそれ

今回の問題を受け、「runc」の開発グループは、同脆弱性を修正するパッチをリリースした。

またパッチの有効性を確認するため、いくつかのベンダーより同脆弱性を突くエクスプロイトコードを求められたことから、クラウドプロバイダなどへ与える影響の大きさを考慮し、提供を決定。オリジナルのコードをSarai氏がより汎用性のあるものに書き換え、提供したという。

提供されたエクスプロイトコードは、OpenWallにおけるルールのもと2月18日に公開される予定で、同日までに同脆弱性を解消しておくよう注意喚起が行われている。

同脆弱性の判明を受け、「Docker」や「Kubernetes」のほか、Linuxディストリビューションなども対応を開始した。

またSarai氏は「LXC」にも類似した脆弱性が存在することを発見、同ソフトに対してもパッチがリリースされた。また「Apache Mesos」の関係者から連絡があり、同ソフトも脆弱であるとの報告を受けたことも明らかにしている。

(Security NEXT - 2019/02/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Feature Toggle」のJava実装「FF4j」に深刻な脆弱性
「Apache Fineract」にパストラバーサルの脆弱性
「Chrome」にゼロデイ脆弱性 - 前回ゼロデイ対応から1週間強で
Ubuntuに権限昇格の脆弱性 - 詳細情報も公開
Zohoのアクセス関連製品に複数のSQLi脆弱性
WP向けプラグイン「WP User Frontend」に深刻な脆弱性 - PoC公開済み
「Apache DolphinScheduler」にコードインジェクションの脆弱性
ゼロデイ脆弱性に対処した「Microsoft Edge」がリリース
Go向けSAMLライブラリに深刻な脆弱性 - アップデートが公開
「VMware Tools for Windows」に脆弱性 - 重要度は「低」