「Docker Desktop」が「Log4j」問題に対応 ～脆弱性スキャンツールを更新

公式ブログ「Docker Blog」

　米Dockerは12月11日（現地時間）、「Docker Desktop 4.3.1」を公開した。「Docker Desktop」は、Windows/Mac環境へ「Docker」をインストールし、手軽に使えるようにしたツール。今回のアップデートでは「docker scan」がv0.11.0へ更新され、ロギングライブラリ「Apache Log4j」で発見された任意コード実行の脆弱性（CVE-2021-44228）を検出できるようになった。

　「CVE-2021-44228」（通称：Log4Shell）は、特定のリクエストを送出するだけでリモートから任意のコードを実行可能になる致命的な脆弱性。「CVSS 3.0」の基本値は最高の「10.0」で、「Log4j」を採用するJava製のソリューション（アプリ、ゲーム、クラウドサービスなど）に広く影響する。「Docker Desktop」アプリ自体はこの影響を受けないが、コンテナーイメージはその限りではない。利用状況に応じて適切な対応が必要だ。

　「Docker Desktop」にはローカルイメージをスキャンして脆弱性を検出・修復するCLIツール「docker scan」が含まれており、それを実行すればイメージが「Log4Shell」の影響をチェックできそうなものだが、残念ながら「Docker Desktop 4.3.0」までに含まれる「docker scan」は「Log4Shell」の検出に対応していないとのこと。「Docker Desktop」をアップデートして「docker scan」を最新版にする必要があるので注意したい。Linux版CLIも近日中に更新され、新しい「docker scan」が追加されるという。

　「Docker Desktop」は現在、同社のWebサイトから利用可能。中小企業（従業員数250人未満、年間収益1,000万ドル未満）、個人使用、教育目的、非商用のオープンソースプロジェクトであれば、無償の「Docker Personal」サブスクリプションで利用できる。それ以外の用途では、有料サブスクリプションが必要となる。

　「docker scan」は有償サブスクリプションに含まれる機能だが、毎月10回の無償スキャンが可能だ。