「Docker 1.3.2」リリース--緊急レベルの脆弱性2件を修正

ZDNET Japan Staff

2014-11-27 11:51

 米国時間11月24日、緊急レベルの脆弱性2件を修正するDocker 1.3.2がリリースされた。このバージョンでは、「CVE-2014-6407」と「CVE-2014-6408」で報告されている緊急レベルの脆弱性2件が修正されているのに加え、幾つかのバグフィックスと、安全性の低いレジストリオプションの変更が施されている。

 Openwallのサイトに掲載されたセキュリティアドバイザリによると「CVE-2014-6407」は、アーカイブ抽出時にホストの権限昇格が可能になる脆弱性で、Docker 1.3.1以前のバージョンが影響を受ける。深刻度は「緊急」。悪用されると、リモートから任意のコードを実行され、権限を不正に昇格される可能性がある。バージョン1.3.1以前にはこの脆弱性を回避する方法がないため、ユーザーはバージョン1.3.2への更新が推奨されている。

 「CVE-2014-6408」は、イメージに適用されたセキュリティオプションを通じてコンテナの権限昇格が可能になる脆弱性で、Docker 1.3.0から1.3.1までのバージョンが影響を受ける。深刻度はこちらも「緊急」である。この脆弱性を悪用されると、コンテナのプロセスに適用された制限を解除され、システムの他の領域に不正アクセスされる可能性がある。

 なお、Docker 1.3.2では上記の脆弱性の修正に加えて、管理者が「--insecure-registry」のアドレス範囲をCIDR形式で渡すことが可能になった。また、localhost上でクリアテキストのレジストリがデフォルトで許可されるようになった。

 Docker 1.3.2はサポート対象の全プラットフォーム向けにリリースが完了しており、「https://docs.docker.com/installation/」からダウンロードできる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]