Podman and Buildah Vulnerable to Container Breakout – CVE-2024-11218
2025/01/26 SecurityOnline — 人気のコンテナ・ツールである Podman と Buildah に、深刻な脆弱性 CVE-2024-11218 (CVSS:8.6) が発見された。この脆弱性の悪用に成功した攻撃者は、コンテナ・エスケープを達成し、ホスト・システム上の機密情報へのアクセスを可能にするという。この脆弱性は競合状態に起因するものであり、”–jobs=2″ フラグを使用して、悪意の Containerfile を構築する際に発生する。それにより攻撃者は、RUN 命令の “–mount” フラグを悪用して、ホスト上のコンテンツをコンテナに公開できるようになる。
Buildah のセキュリティ・アドバイザリでは、「コンテナ・ファイルの RUN 命令で “-mount” フラグを使用することで、ホスト・システムの内容が露出する可能性が生じる。具体的には、同時実行されるビルド・ステージを利用するマルチ・ステージ・ビルド (例:”-jobs CLI” フラグの使用) や、複数の独立した同時実行ビルドを用いることになる。それにより、悪意のコンテナ・ファイルを介して、ホスト・システムの内容が、RUN 命令内で実行されるコマンドへと露出していく」と説明されている。
SELinux が有効な場合の攻撃者は、ホスト・システム上のファイルやディレクトリを列挙できるという。
この脆弱性は、root 所有の podman システム・サービスとして、ビルド・プロセスが 実行される場合に、重大な結果を招く可能性がある。攻撃者は、setuid 実行ファイルを含む機密データにアクセスし、ホスト上での権限昇格の可能性を得るという。
すでに Podman と Buildah のメンテナたちはパッチをリリースし、この脆弱性に対処している。ユーザーに推奨されるのは、速やかにインストールを、最新バージョンへと更新することだ。
なお、このパッチはメイン・ブランチにマージされ、リリース 1.38/1.37/1.35/1.33 ブランチの、今後のリリースに追加される予定である。
現時点では、強制アクセス制御 (MAC:Mandatory Access Controls) を有効化することで、この脆弱性の影響を軽減できる可能性がある。このアドバイザリには、「MAC が有効化されている場合には、ビルドを実行するプロセスの、アクセスを制限する必要がある」と記されている。
Docker 互換とされる Podman と Buildah に共通の脆弱性です。ご利用の開発チームは、ご注意ください。前回の関連ポストは、2024/03/18 の「Podman/Buildah の脆弱性 CVE-2024-1753 が FIX:ただちにアップデートを!」です。Podman と Buildah の違いについて調べてみたら、「Dockerユーザーのための Podman と Buildah の紹介」という、詳細を解説する記事が見つかりました。よろしければ、カテゴリ Container も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.