米国時間11月24日、緊急レベルの脆弱性2件を修正するDocker 1.3.2がリリースされた。このバージョンでは、「CVE-2014-6407」と「CVE-2014-6408」で報告されている緊急レベルの脆弱性2件が修正されているのに加え、幾つかのバグフィックスと、安全性の低いレジストリオプションの変更が施されている。
Openwallのサイトに掲載されたセキュリティアドバイザリによると「CVE-2014-6407」は、アーカイブ抽出時にホストの権限昇格が可能になる脆弱性で、Docker 1.3.1以前のバージョンが影響を受ける。深刻度は「緊急」。悪用されると、リモートから任意のコードを実行され、権限を不正に昇格される可能性がある。バージョン1.3.1以前にはこの脆弱性を回避する方法がないため、ユーザーはバージョン1.3.2への更新が推奨されている。
「CVE-2014-6408」は、イメージに適用されたセキュリティオプションを通じてコンテナの権限昇格が可能になる脆弱性で、Docker 1.3.0から1.3.1までのバージョンが影響を受ける。深刻度はこちらも「緊急」である。この脆弱性を悪用されると、コンテナのプロセスに適用された制限を解除され、システムの他の領域に不正アクセスされる可能性がある。
なお、Docker 1.3.2では上記の脆弱性の修正に加えて、管理者が「--insecure-registry」のアドレス範囲をCIDR形式で渡すことが可能になった。また、localhost上でクリアテキストのレジストリがデフォルトで許可されるようになった。
Docker 1.3.2はサポート対象の全プラットフォーム向けにリリースが完了しており、「https://docs.docker.com/installation/」からダウンロードできる。
