「Docker Desktop」に最大深刻度「High」の脆弱性 ～修正版が公開へ

「Docker Desktop」に全6件の脆弱性

　米Dockerは4月7日（現地時間）、「Docker Desktop」v4.27.0以前に脆弱性が存在することを発表した。修正版のv4.27.1が現地時間の2月1日に公開される予定。

　今回発表された脆弱性は以下の6件で、最大深刻度は「High」。（括弧内は深刻度）

• CVE-2024-21626：「runc」の問題によりホストシステムを完全に制御される恐れ（High）
• CVE-2024-23651：「BuildKit」の問題によりビルドコンテナにホストシステムのファイルがアクセスできる恐れ（High）
• CVE-2024-23652：「BuildKit」の問題によりホストシステムのファイルがコンテナから削除される恐れ（High）
• CVE-2024-23653：「BuildKit」の問題により昇格された特権でコンテナを実行するように要求できる恐れ（High）
• CVE-2024-23650：「BuildKit」の問題によりBuildKitデーモンのパニックを引き起こす可能性のあるリクエストを作成される恐れ（Medium）
• CVE-2024-24557：「Moby」の問題によりキャッシュポイズニングが引き起こされる恐れ（Medium）

　いずれの問題も、ユーザーが悪意のあるコンテンツをビルドプロセスに組み込むか、疑わしいイメージからコンテナを実行しない限り悪用されないという。なお、「runc」のみ脆弱性を修正したv1.1.12が公開済みだ。