Critical containerd Vulnerability: Malicious Images Can Hijack Host Filesystem
2025/05/21 SecurityOnline — containerd が発表したのは、同プロジェクトのコンテナ・ランタイムにおける、深刻な脆弱性に関する緊急セキュリティ・アドバイザリである。この脆弱性により発生する可能性があるのは、悪意のコンテナ・イメージによるホスト・ファイル・システムへの不正アクセスである。この脆弱性 CVE-2025-47290 は、containerd バージョン 2.1.0 に影響を及ぼすものだが、すでに、バージョン2.1.1 で修正されている。
containerd を知らない人のために説明すると、シンプル/堅牢性/移植性という点で、業界標準のコンテナ・ランタイムである。
Linux/Windows に提供される containerd は、イメージの保存/転送/実行/ネットワーク管理などの、コンテナ・ライフ・サイクルのコア・オペレーションを支えており、Kubernetes/Docker 環境で広く使用されている。
いま、問題となっている脆弱性は、Time-of-Check to Time-of-Use (TOCTOU) の欠陥である。アドバイザリには、「イメージのプル中にイメージを解凍する際に、特別に細工されたコンテナ・イメージにより、ホスト・ファイル・システムが任意に変更される可能性がある」と記されている。
具体的に言うと、悪意のイメージを作成する攻撃者が、解凍プロセス中にシンボリック・リンクやパスを操作し、コンテナが意図する境界の外側に書き込みを行い、重要なホスト・ファイルを上書きする可能性が生じている。
この種の脆弱性は、イメージ・プルが、自動的かつ頻繁に行われる。本番環境のコンテナ・デプロイメントにおいて特に危険である。
この脆弱性の影響を及ぼす範囲は、containerd v2.1.0 のみであり、すでに v2.1.1 で解決されている。したがって、この問題を解決するユーザーは、上記のバージョンへとアップデートする必要がある。
containerd チームは、「信頼できるイメージのみを使用し、イメージをインポートする権限が、信頼できるユーザーのみに制限されるようにしてほしい。ただし、それは一時的な回避策であり、長期的な解決策とは考えないでほしい。バージョン 2.1.1 へのアップデートが、本質からの修正となる」と述べている。
containerd に、TOCTOU の脆弱性 CVE-2025-47290 が発生しています。悪用されると、ホスト・ファイル・システムへの不正アクセスに繋がる恐れがあるとのことです。ご利用のチームは、十分にご注意ください。よろしければ、カテゴリ _Container も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.