セキュリティ

SECURITY

公開：2024-11-27

【CVE-2024-9676】Podman、Buildah、CRI-Oにシンボリックリンク脆弱性、DoS攻撃のリスクに警戒必要

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Podman、Buildah、CRI-Oにシンボリックリンク関連の脆弱性
• containers/storage libraryでDoS攻撃のリスク
• 複数のRed Hat製品でセキュリティアップデート提供

Podman、Buildah、CRI-Oのシンボリックリンク脆弱性に関する警告

Red Hatは2024年10月15日、Podman、Buildah、CRI-Oにおけるcontainers/storage libraryのシンボリックリンク脆弱性【CVE-2024-9676】を公開した。この脆弱性は自動割り当てされたユーザー名前空間を使用する際にDoS攻撃を引き起こす可能性があり、悪意のあるイメージを実行することでOOMキルにつながる危険性が指摘されている。^[1]

containers/storage libraryはコンテナ内の/etc/passwdファイルを読み取る際にシンボリックリンクの検証が適切に行われず、攻撃者はホスト上の任意のファイルを読み取ることが可能となる。この脆弱性の深刻度はCVSS v3.1で6.5（MEDIUM）に分類され、ネットワークからの攻撃が可能であることが懸念されている。

Red HatはEnterprise Linux 9やOpenShift Container Platform 4.12から4.17までの各バージョンに対してセキュリティアップデートを提供している。影響を受けるユーザーは早急にアップデートを適用することが推奨され、特にPodmanとBuildahでは--userns=autoオプションを使用する環境での注意が必要だ。

影響を受けるRed Hat製品とバージョンまとめ

シンボリックリンク脆弱性について

シンボリックリンク脆弱性とは、ファイルやディレクトリへの参照を含むシンボリックリンクの検証が不適切な場合に発生するセキュリティ上の問題を指す。主な特徴として、以下のような点が挙げられる。

• 意図しないファイルやディレクトリへのアクセスが可能となる
• 権限昇格やデータ漏洩のリスクが存在する
• ディレクトリトラバーサル攻撃の一種として利用される

今回のcontainers/storage libraryの脆弱性では、コンテナ内の/etc/passwdファイルがシンボリックリンクである場合の適切な検証が行われていないことが問題となっている。この脆弱性を利用することで、攻撃者はホストシステム上の任意のファイルを読み取ることが可能となり、特に--userns=autoオプションを使用する環境では深刻な影響を及ぼす可能性がある。

containers/storage libraryの脆弱性に関する考察

containers/storage libraryの脆弱性が発見されたことは、コンテナセキュリティにおける重要な警鐘となっている。特にユーザー名前空間の自動割り当て機能は利便性と引き換えにセキュリティリスクを抱えており、コンテナ技術の進化に伴う新たな脅威の出現を示唆している。今後はコンテナランタイムの開発においてより厳密な入力検証とアクセス制御の実装が求められるだろう。

Red Hatによる迅速なセキュリティアップデートの提供は評価に値するが、影響を受ける製品が多岐にわたることから、組織全体での包括的な対応が必要となっている。特にOpenShift Container Platformの各バージョンでは、クラスタ全体のセキュリティを確保するため、計画的なアップデート適用が重要な課題となるはずだ。

今後はコンテナエコシステム全体でのセキュリティ強化が期待される。特にシンボリックリンクの扱いに関しては、より厳密な検証メカニズムの実装や、コンテナイメージのスキャン機能の強化など、多層的な防御アプローチの採用が望まれる。コンテナ技術の普及に伴い、このような基盤レベルでの脆弱性対策がより一層重要になるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-9676, (参照 24-11-27).
2. Red Hat. https://www.redhat.com/ja

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧