新たに開示されたDocker Engineの高重大度脆弱性により、攻撃者は認可制御をバイパスしてホストシステムへのアクセスを取得する可能性があり、プラグインベースのセキュリティ施行に依存する環境での懸念が高まっています。
CVE-2026-34040として追跡されている本問題は、29.3.1より前のDocker Engineバージョンに影響し、機密性、完全性、可用性への潜在的な影響のため高いCVSSスコアが付与されています。
この脆弱性は以前に特定された脆弱性CVE-2024-41110の不完全な修正に由来するもので、以前の修復努力が根本的な問題に完全に対処できなかったことを示しています。
この脆弱性はDocker認可プラグイン(AuthZ)メカニズムを対象としており、これは細粒度のアクセス制御ポリシーを施行するために一般的に使用されます。
通常の条件下では、これらのプラグインはアクションの許可または拒否の前にAPIリクエスト(リクエストボディを含む)を検査します。
しかし、研究者は攻撃者が異常に大きなボディを持つ特別に設計されたAPIリクエストを作成できることを発見しました。
Docker デーモンによって処理されるとき、これらのリクエストはリクエストボディを含めずに認可プラグインに転送される可能性があります。その結果、プラグインは不完全なデータに基づいて判断を下します。
この動作はセキュリティギャップを作成します。認可プラグインがリクエストボディの検査に依存してアクションが許可されるべきかを判断する場合、そうしないと禁止されるはずの悪意のあるリクエストを誤って承認する可能性があります。
この脆弱性は主に、アクセス制御を施行するためにAuthZプラグインを積極的に使用する環境に影響します。これらのプラグインに依存しないシステムは影響を受けません。
低い権限とローカルアクセスを必要としますが、この欠陥は攻撃者が重大なセキュリティチェックをバイパスすることを可能にするため危険と考えられています。
成功した悪用により、不正なコンテナ操作、さらにはホストシステムの基盤となるシステムへのアクセスが容易になる可能性があります。
この脆弱性は「スコープ変更」分類を持っており、悪用が初期セキュリティ境界を超えたリソースに影響する可能性があることを意味し、その重大性が増します。
すぐにパッチを適用できない組織に対して、以下の軽減策が推奨されています。
この脆弱性は部分的な修正に依存することのリスク、およびプラグインベースのアーキテクチャのセキュリティ確保の複雑さを強調しています。
また、セキュリティ制御が形式が正しくないまたは異常に大きな入力などのエッジケースをどのように処理するかを検証することの重要性も強調しています。
セキュリティ研究者(Oleh Konko(1seal)、Cody、Asim Viladi Oglu Manizada)は、この問題の発見と報告に貢献したと認定されています。
本番環境でDockerを使用する組織は、認可構成を確認し、潜在的な悪用を回避するためにパッチが適用されたバージョンを実行していることを確認する必要があります。
翻訳元: https://cyberpress.org/critical-docker-vulnerability/