Dockerも利用する「runc」に重大な脆弱性 何が危険か? 対策は?「コンテナエスケープ」の脅威と対策【前編】

主要なコンテナランタイム「runc」に重大な脆弱性が見つかった。攻撃者がこの脆弱性を悪用すると、コンテナ経由でホストシステムの管理者権限を奪える可能性がある。対策はあるのか。

2020年01月10日 05時00分 公開
[Dave ShacklefordTechTarget]

関連キーワード

Linux | セキュリティ | 仮想化 | 脆弱性 | Docker


 コンテナ管理ソフトウェアの「Docker」でも利用されている、オープンソースのコンテナランタイム(コンテナの実行に必要なソフトウェア)の筆頭格「runc」に重大な脆弱(ぜいじゃく)性「CVE-2019-5736」が見つかった。runcの開発者は2019年2月にこの脆弱性に対するセキュリティ情報とパッチを公開した。

 攻撃者がこの脆弱性を悪用した場合、攻撃者自身がアクセス権限を持つコンテナを経由して、そのコンテナが稼働するホストシステムにおいて「root」などの管理者権限を取得できるようになる可能性がある。攻撃者が管理者権限を取得すると、システムに対する重要な操作が可能になってしまう。

 こうしたコンテナを経由したホストシステムの攻撃は、「コンテナからホストシステムへの脱出」の意味で「コンテナエスケープ」という。コンテナエスケープは、攻撃者が書き込み権限を取得した既存のコンテナの侵害、あるいは改変したイメージファイルを用いた有害なコンテナの作成に悪用される。

 セキュリティ担当者にとって、コンテナのホストシステムで悪意あるユーザーによる操作を可能にしてしまうコンテナエスケープを引き起こす脆弱性が広く知られたのは、今回が初めてではない。2016年終盤には、コンテナエスケープにつながる脆弱性「CVE-2016-9962」に関する情報が公開された。この脆弱性もruncによるホストシステムの操作に影響を及ぼすもので、コンテナやコンテナイメージへのアクセス権限を持つ攻撃者によるコンテナエスケープを可能にする恐れがあった。

具体的な対策は

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news121.jpg

「ファクトチェック廃止」の波紋 Metaにこれから起きること
Metaがファクトチェックの廃止など、コンテンツに関するいくつかの重要なルール変更を行...

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年1月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news041.jpg

「非常時にピザ1枚無料」のデータがドミノ・ピザのマーケティングに生む好循環とは? CMOに聞く
2024年10月にDomino'sのチーフブランドオフィサーからエグゼクティブバイスプレジデント...