【CVE-2024-9341】Red HatがContainers共通ライブラリの重大な脆弱性を発表、コンテナセキュリティの強化が急務に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Containersライブラリで重大な脆弱性を発見
FIPS有効時のファイルパス検証に問題
コンテナとホストシステム間の分離が危険

FIPSモード有効時のContainers共通ライブラリの脆弱性

Red Hatは2024年10月1日、Containers共通ライブラリにおいてFIPSモード有効時にファイルパスの検証が不適切になる脆弱性【CVE-2024-9341】を公開した。この脆弱性は攻撃者がシンボリックリンクを悪用してホストの重要なディレクトリをコンテナ内にマウントできる問題を引き起こすことが判明している。^[1]

この脆弱性はPodman、Buildah、Cri-Oなどの主要なコンテナランタイムに影響を及ぼし、攻撃者がコンテナとホストシステム間の意図された分離を迂回して重要なホストファイルにアクセスすることを可能にする。Red Hat Enterprise LinuxとRed Hat OpenShift Container Platformの複数のバージョンが影響を受けることが確認されている。

Red Hatは既に影響を受けるバージョンに対してセキュリティアップデートを提供し、RHEL 8とRHEL 9、OpenShift Container Platform 4.12から4.17までの各バージョンに対して修正パッチをリリースした。CVSSスコアは5.4（中程度）と評価され、CWE-59（不適切なリンク解決）に分類されている。

影響を受けるバージョンと対応状況まとめ

製品	影響バージョン	対応状況
RHEL 8	8100020241023085649.afee755d以前	修正パッチ提供済み
RHEL 9	4:4.9.4-13.el9_4以前	修正パッチ提供済み
OpenShift 4.12	0:1.25.5-30.rhaos4.12.git53dc492.el8以前	修正パッチ提供済み
OpenShift 4.13-4.17	各バージョンの最新パッチ以前	修正パッチ提供済み

シンボリックリンクについて

シンボリックリンクとは、ファイルシステム上で別のファイルやディレクトリへの参照を提供する特殊なファイルタイプのことを指す。主な特徴として、以下のような点が挙げられる。

実体とは別の場所に存在する参照ファイル
ファイルシステムをまたいだリンクが可能
リンク先が削除されても参照自体は残存

シンボリックリンクは特にコンテナ環境において、ホストとコンテナ間のファイルシステムの橋渡しとして重要な役割を果たしている。今回の脆弱性では、FIPSモード有効時にこのシンボリックリンクの解決が適切に行われず、攻撃者がホストシステムの重要なディレクトリへの不正なアクセスを可能にしてしまう問題が発生している。

Containers共通ライブラリの脆弱性に関する考察

Containers共通ライブラリの脆弱性は、コンテナセキュリティの根幹に関わる重要な問題を浮き彫りにしている。FIPSモードという特定の条件下で発生する問題であるため発見が遅れた可能性があり、今後は特殊な設定環境下でのセキュリティテストの重要性が増すだろう。企業のセキュリティ担当者はFIPSモードの使用状況を確認し、必要に応じて適切な対策を講じる必要がある。

また、シンボリックリンクを利用した攻撃手法は、コンテナ環境特有のセキュリティリスクを示している。コンテナランタイムの開発者は、ファイルシステムの分離に関するより厳密な検証メカニズムの実装を検討する必要があるだろう。セキュリティ研究者による脆弱性の発見と報告は、オープンソースコミュニティの健全性を示す良い例となっている。

今後はFIPSモードに限らず、特殊な設定や環境下でのセキュリティ検証がより重要になると予想される。コンテナ技術の普及に伴い、ホストとコンテナ間の分離に関する新たなセキュリティ課題が発見される可能性が高く、継続的なセキュリティアップデートとモニタリングの重要性が増すだろう。