Docker Composeのユーザーは、攻撃者がパストラバーサル攻撃を仕掛けることを可能にする脆弱性が研究者によって発見されたことを受け、オーケストレーションツールのバージョンをアップグレードするよう強く促されています。
NISTはこのComposeの脆弱性にCVE-2025-62725の名称を付与し、深刻度8.9と評価しています。
このバグはImpervaのRon Masasによって10月初旬に発見されました。Masasによれば、Composeは「Docker Engineの上にあるフレンドリーなレイヤーで、数行のYAMLを稼働中のアプリケーションに変換する」ものです。当然ながら、これは「CI/CDランナーやローカル開発スタックからクラウドワークスペース、エンタープライズのビルドパイプラインに至るまで、数百万のワークフローを支えています。」
彼は、ツールに最近追加されたOCIベースのComposeアーティファクトのサポートを調査中に、この高深刻度のパストラバーサル脆弱性を発見しました。「この欠陥により、攻撃者はComposeのキャッシュディレクトリから抜け出し、悪意のあるリモートアーティファクトを参照させるだけで、ホストシステム上に任意のファイルを書き込むことができました。」
「ComposeがOCIレイヤーを処理する際、ファイルを書き込む場所を指示するレイヤーアノテーションを信頼していました」と彼は述べています。そのため、攻撃者はアノテーションを細工でき、Composeは「ローカルキャッシュディレクトリとそのアノテーションをリテラルで結合していました… 正規化も、カノニカル化も、結果のパスがキャッシュ内に留まっているかのチェックもありませんでした。」
その結果、細工されたアノテーションがキャッシュディレクトリの外に抜け出し、「Composeプロセスが書き込み権限を持つ場所ならどこにでもファイルを書き込ませることができました。」
Docker ComposeのOCIアーティファクト機能は構成共有を効率化することを目的としていますが、このインシデントは未検証ソースからの自動ファイル再構築が重要なセキュリティ境界を曖昧にすることを示しています。
Masasは、Dockerチームの迅速な対応と修正によりユーザーの保護が確保されたと述べていますが、この出来事は「たとえ『単なるYAML』であっても、すべてのパスをサニタイズする」ことの重要性を改めて示しました。なお、Impervaはユーザーにv2.40.2へのアップグレードを推奨しています。
その他のニュースとして、DockerはWindows Installerの脆弱性も修正しました。これによりDLLインジェクションのリスクがありました。Desktop Installer.exeの脆弱性はENISAによってEUVD-2025-36191と命名され、深刻度8.8と評価されています。
ENISAによれば、この脆弱性によりDesktop Installer.exeは「DLLの検索順序が安全でないためDLLハイジャックの脆弱性があります。インストーラーは必要なDLLをシステムディレクトリよりも先にユーザーのダウンロードフォルダで検索します。」
この弱点により、攻撃者は特定の場所に悪意のあるDLLファイルを配置することで、システムへの高権限アクセスを得ることができました。
Dockerは先週リリースされたDesktop 4.49.0でこの問題を修正しており、まだアップグレードしていないユーザーは更新すべきです。最新バージョンのリリースノートでは、次回以降のリリースでは少なくともWindows 10 22H2またはWindows 11 23H2が必要になることも警告しています。
DockerがDesktopの高深刻度脆弱性を修正するのはこれで2か月連続であり、8月にも重大な脆弱性を修正しています。しかし、多くのベンダーやプロジェクトは年間で数十、数百、あるいは数千もの脆弱性を記録しています。OWASPのDockerセキュリティの第一ルールは「ホストとDockerを常に最新に保つこと」です。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/30/docker_compose_desktop_flaws/
