Linuxカーネルの「Dirty Pipe」脆弱性に対処した「Docker Desktop 4.6.0」

「Docker Desktop 4.6.0」が公開

　米Dockerは3月14日（現地時間）、「Docker Desktop 4.6.0」を公開した。「Dirty Pipe」脆弱性（CVE-2022-0847）に対処したセキュリティアップデートとなっている。

　「Dirty Pipe」は「Linux 5.8」以降のカーネルで発見された特権昇格の脆弱性で、比較的容易に悪用が可能。パイプ処理の不備により、権限のないローカルユーザーからファイルの内容を変更できてしまう。ファイルは読み取り専用アクセスしか許可されていなくても上書きできる。

　「Docker Desktop」の場合、攻撃者がコンテナ内部からホスト上のコンテナイメージのファイルを変更することができる可能性があるとのこと。できるだけ早い対処をお勧めする。

　そのほかにも、新機能としてダッシュボードでチェックボックスで複数のボリュームを選択し、まとめてクリーンアップする機能が追加されているという。

　「Docker Desktop」はWindows/Mac環境へ「Docker」をインストールし、手軽に使えるようにしたツールで、現在、同社のWebサイトから利用可能。中小企業（従業員数250人未満、年間収益1,000万ドル未満）、個人使用、教育目的、非商用のオープンソースプロジェクトであれば、無償の「Docker Personal」サブスクリプションで利用できる。それ以外の用途では、有料サブスクリプションが必要となる。