Kenna Securityは米国時間5月20日、「Docker Hub」上で広く利用されている1000の「Docker」コンテナのうち、およそ20%がある種の条件下でユーザーシステムに対する攻撃を許す設定になっていることを明らかにした。
提供:ZDNet.com
これは、Cisco Talosが8日に明らかにした、公式版の「Alpine Linux Docker」コンテナに存在する脆弱性と同じ問題と言える。Alpine Linux Dockerイメージは過去3年間にわたり、パスワードを空白にした管理者アカウントが有効な状態でリリースされていた。
Kenna Securityの主席セキュリティエンジニアであるJerry Gamblin氏は、Docker Hub上のパッケージリポジトリーすべてについて、この問題の影響度合いを調査した。
Docker Hubの1000のコンテナをチェックしたところ、194のDockerイメージにおいて、管理者アカウントのパスワードが空白になっていることが分かったという。
同氏が明らかにしたリストの中には、MicrosoftやMonsanto、HashiCorp、Mesosphere、英国政府が公開しているコンテナも含まれている。
同氏はブログに、「リスト上で最も有名なコンテナはkylemanna/openvpnであり、同コンテナは1000万回以上pullされている」と記している。
誤解のないように書いておくと、この設定ミスによってすべてのユーザーに直接的な脅威がもたらされるわけではない。Alpine Linux開発チームが説明しているように、影響が及ぶのは「Linux PAM」(Pluggable Authentication Modules)を利用している、あるいは認証に際して/etc/shadowを用いるよう設定されているLinuxシステムのみとなっている。
「1000のコンテナをチェックし、うち20%がこの設定になっていることが判明したわけだから、エンドユーザーは、自分の環境でコンテナを使用する場合のベストプラクティスとして、こうした設定ミスを認識して特定し、対処する必要があることが明らかになった」とGamblin氏は米ZDNetに語った。
Gamblin氏は潜在的に脆弱な可能性のあるDockerコンテナのリストをGitHubで公開している。
責任ある情報開示の取り組みという観点から質問したところ、同氏は「リストに載っている企業や個人の一部に直接連絡を取った」「自分の知る限り、Docker Hubでは、個々のコンテナに関する問題について彼らに連絡する方法がない」と述べている。
「CVE-2019-5021に関する私の研究によって、コンテナの管理者にとってこの問題の理解が進むことを願っている」(Gamblin氏)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
