公開日:2024/02/06 最終更新日:2024/02/06

JVNVU#92207212
Moby BuildKit および OCI runc に複数の脆弱性

概要

Moby プロジェクトの BuildKit および Open Container Initiative の runc に複数の脆弱性が報告されています。

影響を受けるシステム

  • Moby プロジェクト BuildKit v0.12.4 およびそれ以前
  • Open Container Initiative runc v1.0.0-rc93 から v1.1.11

詳細情報

Moby プロジェクトの BuildKit および Open Container Initiative の runc に複数の脆弱性が報告されています(CVE-2024-23651CVE-2024-23652CVE-2024-23653CVE-2024-21626)。

想定される影響

細工された Dockerfile を使ってコンテナイメージを作成したり、細工されたコンテナイメージを実行したりすることで、ホストOS環境に対して不正な操作が行われる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、当該製品を最新版へアップデートしてください。

ワークアラウンドを実施する
信頼できない Dockerfile やコンテナイメージの使用を避けてください。

詳しくは開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Moby Project GHSA-m3r6-h7wv-7xxv: Possible race condition with accessing subpaths from cache mounts
GHSA-4v98-7qmw-rqr8: Possible host system access from mount stub cleaner
GHSA-wr6v-9f75-vh2g: Interactive containers API does not validate entitlements check
Open Container Initiative GHSA-xr7r-f8xq-vfvv: several container breakouts due to internally leaked fds
Docker Inc. Multiple Vulnerabilities in runc, BuildKit, and Moby

参考情報

  1. CISA Alert
    Moby and Open Container Initiative Release Critical Updates for Multiple Vulnerabilities Affecting Docker-related Components
  2. Snyk Limited
    Leaky Vessels: Docker and runc container breakout vulnerabilities (January 2024)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia