Dockerエンジンの認証プラグインに脆弱性 - CVSSは最高値だが悪用可能性は低

Dockerエンジンに含まれる認証プラグイン「AuthZ」をバイパスできる脆弱性が明らかとなった。過去に実施された修正が特定バージョン以降含まれていなかったという。

Dockerデーモンに対するリクエストに対し、認証や認可などアクセス制御を強化するために提供されているプラグイン「authorization plugins（AuthZ）」に脆弱性「CVE-2024-41110」が明らかとなったもの。

細工したAPIリクエストによって同プラグインをバイパスできる脆弱性が2018年に判明。2019年1月にリリースされた「Docker Engine 18.09.1」で修正されたが、「Docker Engine 19.03」および以降のメジャーバージョンにおいて修正が引き継がれておらず、再発していることが判明した。

同プラグインを利用している場合に影響を受ける。開発チームは、現地時間7月23日に同脆弱性へ対処した「同27.1.1」をリリースしたほか、対象バージョン向けに修正パッチを提供している。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは最高値の「10.0」、重要度は「クリティカル（Critical）」とされているが、セキュリティアドバイザリでは、一般的な環境や設定において脆弱性が悪用される可能性は「低い」と説明している。

（Security NEXT - 2024/07/24 ） ツイート

PR

関連記事

ビデオ会議「Zoom」のオンプレミス製品に「クリティカル」脆弱性
区立保育園で児童票が所在不明、誤廃棄か - 練馬区
関係者向けの通知メールで誤送信、メアド流出 - 東村山市
ふるさと納税寄付者情報を返礼品提供事業者に誤送信 - 京都市
ミュージカル製作発表の観客申込フォームで設定ミス - 個人情報が流出
患者に差出人装うハガキ、情報流出を調査 - 糸島医師会病院
受講マッチングサービスの利用者でクレカ不正利用被害 - 関連を調査
WooCommerce向け2FAプラグインに脆弱性 - 認証回避のおそれ
キヤノン製スモールオフィス向け複合機に複数の深刻な脆弱性
「OpenStack」の認証ミドルウェアに脆弱性 - 権限昇格やなりすましのおそれ