Dockerエンジンの認証プラグインに脆弱性 - CVSSは最高値だが悪用可能性は低

Dockerエンジンに含まれる認証プラグイン「AuthZ」をバイパスできる脆弱性が明らかとなった。過去に実施された修正が特定バージョン以降含まれていなかったという。

Dockerデーモンに対するリクエストに対し、認証や認可などアクセス制御を強化するために提供されているプラグイン「authorization plugins（AuthZ）」に脆弱性「CVE-2024-41110」が明らかとなったもの。

細工したAPIリクエストによって同プラグインをバイパスできる脆弱性が2018年に判明。2019年1月にリリースされた「Docker Engine 18.09.1」で修正されたが、「Docker Engine 19.03」および以降のメジャーバージョンにおいて修正が引き継がれておらず、再発していることが判明した。

同プラグインを利用している場合に影響を受ける。開発チームは、現地時間7月23日に同脆弱性へ対処した「同27.1.1」をリリースしたほか、対象バージョン向けに修正パッチを提供している。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは最高値の「10.0」、重要度は「クリティカル（Critical）」とされているが、セキュリティアドバイザリでは、一般的な環境や設定において脆弱性が悪用される可能性は「低い」と説明している。

（Security NEXT - 2024/07/24 ） ツイート

PR

関連記事

システムがランサム被害、詳細を調査 - ウチヤマHD
「Parse Server」に認証回避の脆弱性 - 別アプリのトークンでログイン可能に
「i-フィルター」など複数製品に脆弱性 - 修正版をリリース
米当局、「Ivanti EPM」など3製品の脆弱性悪用に注意喚起
教員アカウントがスパム送信の踏み台に - 鹿児島県立短大
ECサイトで個人情報が表示、設定不備で - FABRIC TOKYO
業務用携帯電話を紛失、虚偽報告の職員を処分 - 長浜市
校外学習先で生徒の個人情報含む書類を紛失 - 大阪府立高
システム侵害による情報流出が判明、詳細を調査 - 村田製作所
市民活動支援センターの団体宛メールで誤送信 - 木更津市