ニュース
パスワードなどが診断データに紛れて流出、「Docker Desktop」に情報漏洩の脆弱性
クライアントアプリの更新を
2022年1月14日 11:30
米Dockerは1月13日(現地時間)、「Docker Desktop 4.4.2」を公開した。有償サブスクリプション「Docker Business」のユーザー向けに「Auth0」とシングルサインオンがサポートされたほか、1件の脆弱性が修正されている。
この脆弱性(CVE-2021-45449)は、ログイン時にユーザーのマシン上の機密情報(アクセストークンまたはパスワード)が記録される可能性があるというもの。Windows/Mac版の「Docker Desktop 4.3.0」「Docker Desktop 4.3.1」に影響し、当該バージョンで診断ログを生成・アップロードすると、アクセストークンやパスワードが「Docker」と共有される可能性がある。
「Docker Desktop 4.3.2」以降をインストールすると、機密情報を含んだログファイルは自動で削除される。そのため、最新版へアップデートしていればユーザー側で対処する必要はない。不安な場合は、以下のパスにあるログファイルを確認するとよいだろう。
- Windows:C:¥Users¥<username>AppData¥Roaming¥Docker¥log¥host¥
- Mac:~/Library/Containers/com.docker.docker/Data/log/host/
すでにアップロードされてしまったログはDocker社のサポートエンジニアのみがアクセス可能で、機密情報の含まれている可能性のある診断ファイルはすでにデータストレージから削除されているとのこと。第三者に漏洩する可能性は低いだろう。また、脆弱性の影響を受けるバージョンから今後送信されたログに関しても、Docker社側で削除を継続していくという。
「Docker Desktop」はWindows/Mac環境へ「Docker」をインストールし、手軽に使えるようにしたツールで、現在、同社のWebサイトから利用可能。中小企業(従業員数250人未満、年間収益1,000万ドル未満)、個人使用、教育目的、非商用のオープンソースプロジェクトであれば、無償の「Docker Personal」サブスクリプションで利用できる。それ以外の用途では、有料サブスクリプションが必要となる。