Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Docker、脆弱性「Leaky Vessels」を修正したアップデートを公開

Dockerは、コンテナのコアコンポーネントに脆弱性「Leaky Vessels」が見つかった問題で、アップデートをリリースした。

ランタイムである「runc」やイメージのビルドに用いる「Buildkit」に「Leaky Vessels」と名付けられた4件の脆弱性「CVE-2024-21626」「CVE-2024-23651」「CVE-2024-23652」「CVE-2024-23653」が判明したもの。

「Docker Engine 25.0.1」「同24.0.8」「Docker Desktop 4.27.0」および以前のバージョンが影響を受ける。脆弱性の影響については「高(High)」とレーティングした。

脆弱性は「runc1.1.12」「Buildkit 0.12.5」にて修正されており、これらを反映した「Moby(Docker Engine)25.0.2」「同24.0.9」を現地時間1月31日にリリース。翌2月1日より「Docker Desktop 4.27.1」を提供している。

また「BuildKit 0.12.5」に関しては、「Leaky Vessels」にて指摘された4件の脆弱性にくわえて、サービス拒否の脆弱性「CVE-2024-23650」に対処したことや、「Moby(Docker Engine)」においてキャッシュを汚染されるおそれがある「CVE-2024-24557」を修正したことを明らかにしている。これら脆弱性の影響は1段階低い「中(Medium)」とした。

Dockerでは、アップデートを強く推奨するとともに、アップデートだけでなく「Dockerイメージ」「Dockerfile」については慎重に使用し、信頼できるコンテンツのみビルドに使用するよう呼びかけている。

(Security NEXT - 2024/02/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

私的にシステム閲覧、身内に個人情報を漏洩した職員を処分 - 各務原市
「WinRAR」に脆弱性、過去の問題に類似 - 修正版をリリース
「FortiOS」のLDAP認証バイパス脆弱性、仮想パッチが公開
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
HTTP通信ライブラリ「Apache HttpComponents」に複数のDoS脆弱性
先週注目された記事(2026年6月28日〜2026年7月4日)
ウェブメール「Roundcube」、アップデートで複数脆弱性を修正
関係者リストを誤送信、入力用様式と同一ファイル名で取り違え - 堺市
「WatchGuard Firebox」のVPN機能に深刻なRCE脆弱性
「PHP」にセキュリティ更新 - 複数の脆弱性を修正