「Docker Desktop」に6件の脆弱性、Dockerがv4.27.1への「すぐに更新」を強く推奨：「runc」「BuildKit」「Moby」に関連する脆弱性

Dockerは、v4.27.0までの「Docker Desktop」に影響する6件の脆弱性を公表し、これらを修正したDocker Desktop v4.27.1を公開した。

[＠IT]

　Dockerは2024年1月31日（米国時間）、v4.27.0までの「Docker Desktop」に影響する6件の脆弱（ぜいじゃく）性を公表し、これらを修正したDocker Desktop v4.27.1を同年2月1日に公開した。

　この6件の脆弱性の内訳は以下の通り。CVE（共通脆弱性識別子）の後のかっこ書きは深刻度を示す。

コンテナランタイム「runc」に関連する脆弱性

• CVE-2024-21626（高）

ビルドツールキット「BuildKit」に関連する脆弱性

• CVE-2024-23651（高）
• CVE-2024-23652（高）
• CVE-2024-23653（高）
• CVE-2024-23650（中）

特別なコンテナシステムを構築するためのオープンフレームワーク「Moby」に関連する脆弱性

• CVE-2024-24557（中）

　これらの脆弱性は、ユーザーが悪意あるコンテンツをビルドプロセスに組み込んだ場合か、疑わしいイメージからコンテナを実行した場合にのみ、悪用される恐れがある。悪用による影響には、ホストファイルシステムへの不正アクセス、ビルドキャッシュの整合性の侵害、コンテナの完全なエスケープが挙げられる。

　Dockerは、Docker Desktop v4.27.0以前のユーザーに、Docker Desktop v4.27.1にすぐに更新することを強く勧めている。すぐに更新できない場合は、以下のベストプラクティスに従ってリスクを軽減することを推奨している。

• 信頼できるDockerイメージ（Docker公式イメージなど）のみを使用する
• 信頼できないソースや信頼できないDockerfileからDockerイメージをビルドしない
• Docker Desktopを使用しているDocker Businessの顧客は、Hardened Docker Desktopの機能を有効にする
• 信頼できないソースからのBuildKitの使用を避ける（BuildKitに関連する脆弱性のリスクを軽減）
• イメージをビルドする際にBuildKitを使用するか、キャッシュを無効にする（Mobyに関連する脆弱性のリスクを軽減）

　なお、Dockerは、2023年1月に提供開始した「Docker Build Cloud」について、以下のように説明している。

• 新しいDocker Build Cloudビルダーインスタンス：最新バージョンのDocker EngineとBuildKitでプロビジョニングされるため、今回の脆弱性の影響はない
• 既存のDocker Build Cloudビルダーインスタンス：段階的にアップデートを展開する

　6件の脆弱性のうちCVE-2024-21626、CVE-2024-23651、CVE-2024-23652、CVE-2024-23653は、Snyk Labsのセキュリティ研究者が発見した。CVE-2024-23650は独立系研究者が、CVE-2024-24557はDockerが発見した。