「Docker Hub」ポータル、著名コンテナの20%に設定ミス

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2019-05-22 11:36

 Kenna Securityは米国時間5月20日、「Docker Hub」上で広く利用されている1000の「Docker」コンテナのうち、およそ20%がある種の条件下でユーザーシステムに対する攻撃を許す設定になっていることを明らかにした。

提供:ZDNet.com
提供:ZDNet.com

 これは、Cisco Talosが8日に明らかにした、公式版の「Alpine Linux Docker」コンテナに存在する脆弱性と同じ問題と言える。Alpine Linux Dockerイメージは過去3年間にわたり、パスワードを空白にした管理者アカウントが有効な状態でリリースされていた。

 Kenna Securityの主席セキュリティエンジニアであるJerry Gamblin氏は、Docker Hub上のパッケージリポジトリーすべてについて、この問題の影響度合いを調査した。

 Docker Hubの1000のコンテナをチェックしたところ、194のDockerイメージにおいて、管理者アカウントのパスワードが空白になっていることが分かったという。

 同氏が明らかにしたリストの中には、MicrosoftやMonsanto、HashiCorp、Mesosphere、英国政府が公開しているコンテナも含まれている。

 同氏はブログに、「リスト上で最も有名なコンテナはkylemanna/openvpnであり、同コンテナは1000万回以上pullされている」と記している。

 誤解のないように書いておくと、この設定ミスによってすべてのユーザーに直接的な脅威がもたらされるわけではない。Alpine Linux開発チームが説明しているように、影響が及ぶのは「Linux PAM」(Pluggable Authentication Modules)を利用している、あるいは認証に際して/etc/shadowを用いるよう設定されているLinuxシステムのみとなっている。

 「1000のコンテナをチェックし、うち20%がこの設定になっていることが判明したわけだから、エンドユーザーは、自分の環境でコンテナを使用する場合のベストプラクティスとして、こうした設定ミスを認識して特定し、対処する必要があることが明らかになった」とGamblin氏は米ZDNetに語った。

 Gamblin氏は潜在的に脆弱な可能性のあるDockerコンテナのリストをGitHubで公開している。

 責任ある情報開示の取り組みという観点から質問したところ、同氏は「リストに載っている企業や個人の一部に直接連絡を取った」「自分の知る限り、Docker Hubでは、個々のコンテナに関する問題について彼らに連絡する方法がない」と述べている。

 「CVE-2019-5021に関する私の研究によって、コンテナの管理者にとってこの問題の理解が進むことを願っている」(Gamblin氏)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]