ニュース

「Log4j」の脆弱性2件に対応 ~「Docker Desktop」コンテナーのセキュリティスキャンが強化

「docker scan」で毎月10回の無償スキャンが可能

「Docker Desktop 4.3.2」が公開

 米Dockerは12月21日(現地時間)、「Docker Desktop 4.3.2」を公開した。先週に続くセキュリティ関連のアップデートとなっている。

 「Docker Desktop」には「docker scan」と呼ばれるコマンドラインインターフェイス(CUI)のプラグインが含まれており、ローカルイメージをスキャンして脆弱性を検出・修復できる。前バージョンの「Docker Desktop 4.3.1」ではこれがアップデートされ、ロギングライブラリ「Apache Log4j」で発見された任意コード実行の脆弱性(CVE-2021-44228、通称:Log4Shell)を検出できるようになった。

Log4Shell脆弱性のスキャンに「docker scan」が使えることを伝えるTips

 最新版では、その後に発見された「CVE-2021-45046」にも対応。最近「Log4j」で発見された2つの脆弱性を検出できるようになっている。

 「Docker Desktop」はWindows/Mac環境へ「Docker」をインストールし、手軽に使えるようにしたツールで、現在、同社のWebサイトから利用可能。中小企業(従業員数250人未満、年間収益1,000万ドル未満)、個人使用、教育目的、非商用のオープンソースプロジェクトであれば、無償の「Docker Personal」サブスクリプションで利用できる。それ以外の用途では、有料サブスクリプションが必要となる。

 なお、「docker scan」は有償サブスクリプションに含まれる機能だが、毎月10回は無償で利用できる。

[お詫びと訂正] 記事初出時、「Docker Desktop 4.3.2」で検出できる「Apache Log4j」の脆弱性を3件とお伝えしましたが、2件の誤りでした。お詫びして訂正いたします。