パスワードなどが診断データに紛れて流出、「Docker Desktop」に情報漏洩の脆弱性

「Docker Desktop 4.4.2」が公開

　米Dockerは1月13日（現地時間）、「Docker Desktop 4.4.2」を公開した。有償サブスクリプション「Docker Business」のユーザー向けに「Auth0」とシングルサインオンがサポートされたほか、1件の脆弱性が修正されている。

　この脆弱性（CVE-2021-45449）は、ログイン時にユーザーのマシン上の機密情報（アクセストークンまたはパスワード）が記録される可能性があるというもの。Windows/Mac版の「Docker Desktop 4.3.0」「Docker Desktop 4.3.1」に影響し、当該バージョンで診断ログを生成・アップロードすると、アクセストークンやパスワードが「Docker」と共有される可能性がある。

　「Docker Desktop 4.3.2」以降をインストールすると、機密情報を含んだログファイルは自動で削除される。そのため、最新版へアップデートしていればユーザー側で対処する必要はない。不安な場合は、以下のパスにあるログファイルを確認するとよいだろう。

• Windows：C:¥Users¥<username>AppData¥Roaming¥Docker¥log¥host¥
• Mac：~/Library/Containers/com.docker.docker/Data/log/host/

　すでにアップロードされてしまったログはDocker社のサポートエンジニアのみがアクセス可能で、機密情報の含まれている可能性のある診断ファイルはすでにデータストレージから削除されているとのこと。第三者に漏洩する可能性は低いだろう。また、脆弱性の影響を受けるバージョンから今後送信されたログに関しても、Docker社側で削除を継続していくという。

　「Docker Desktop」はWindows/Mac環境へ「Docker」をインストールし、手軽に使えるようにしたツールで、現在、同社のWebサイトから利用可能。中小企業（従業員数250人未満、年間収益1,000万ドル未満）、個人使用、教育目的、非商用のオープンソースプロジェクトであれば、無償の「Docker Personal」サブスクリプションで利用できる。それ以外の用途では、有料サブスクリプションが必要となる。