コンテナの制限を回避する脆弱性「Leaky Vessels」が判明

コンテナ関連のコアコンポーネントにコンテナによる制限を回避し、ホストOSのroot権限によるアクセスが可能となる脆弱性「Leaky Vessels」が明らかとなった。

「Dockerエンジン」で使用されるコンテナランタイム「runc」や、コンテナイメージをビルドするためのツールキット「BuildKit」に脆弱性が明らかとなったもの。発見したSnykの研究者は、これら脆弱性を「漏れる容器」を意味する「Leaky Vessels」と名付けている。

コンテナを起動、実行するために用いるOpen Container Initiative（OCI）の「runc」では、「同1.1.11」および以前のバージョンに「CVE-2024-21626」が判明。

またMoby Projectの「Buildkit」では、「同0.12.4」および以前のバージョンに「TOCTOU」によるマウントキャッシュの競合の脆弱性「CVE-2024-23651」、GRPCにおけるセキュリティモードの権限チェックにおける問題「CVE-2024-23653」、ホスト内において任意のファイルが削除できる脆弱性「CVE-2024-23652」が明らかとなった。

悪意のある「Dockerfile」や「アップストリームイメージ」よりコンテナをビルドすると、脆弱性が悪用されてコンテナによる制限を回避し、ホストのroot権限によりアクセスすることが可能となる。

（Security NEXT - 2024/02/02 ） ツイート

PR

関連記事

JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
「VMware Aria Operations」の脆弱性など悪用に注意喚起 - 米当局
「EC-CUBE」に多要素認証を回避される脆弱性 - 修正パッチを公開
自然言語処理ライブラリ「NLTK」に深刻なRCE脆弱性
メッセージブローカー「Apache ActiveMQ Artemis」に深刻な脆弱性
衆議院選挙の投票入場券100枚が所在不明 - 浦添市
約3.2万人分の雇用保険文書を誤廃棄、独自メモに誤り - 京都労働局
複数小中学校で同意なく個人情報をPTAへ提供 - 春日井市
VPN経由で侵入、複数サーバがランサム被害 - 中央学院大
個人情報を誤公開、マスキング処理前の作業データ - 静岡県