Docker Authorization Bypass Flaw Exposed Hosts to Potential Attackers
2026/04/08 gbhackers — Docker Engine で発見された深刻なセキュリティ脆弱性により、ホストに対する認可バイパス攻撃のリスクが生じている。この脆弱性 CVE-2026-34040 を悪用する攻撃者は、 API リクエスト・ボディを操作することで、認可プラグイン (AuthZ) を回避できる。この問題が影響を及ぼす範囲は、受信リクエストボディの内容に基づいてアクセス制御の決定を行う、AuthZ プラグインに依存する環境である。この脆弱性を悪用する際の難易度は比較的低いとされるが、深刻度は High と評価されている。
Docker 認可バイパスの詳細
今回の脆弱性は、過去の CVE-2024-41110 に対する不完全な修正に起因する。Docker デーモンが大容量のリクエスト・ボディを処理する際に、低権限の攻撃者であっても、細工された API リクエストを送信することで不具合を誘発できる。これにより、デーモンからアクティブな AuthZ プラグインへとリクエストが転送される過程で、リクエスト・ボディが削除されるという欠陥が生じる。
このリクエスト・ボディの欠落により、AuthZ プラグインは評価に必要な情報を欠いた状態で判断を下すことになり、本来拒否されるべき操作を許可する恐れがある。結果として、不完全な情報に基づいた認可判断が下され、悪意のコマンドが検知を免れて通過するという状況を招いている。
影響範囲
この脆弱性 CVE-2026-34040 の影響は、AuthZ プラグインを利用している環境に限定され、これらを利用していない場合は影響を受けない。なお、影響を受けるバージョンは、Docker Engine 29.3.1 未満である。
攻撃の実行にはローカル・アクセスおよび低権限が必要とされるが、侵害されたコンテナや制限付きユーザー・アカウントから悪用される恐れがある。侵害が成功した結果として、権限昇格/ホスト設定の改変/機密データへのアクセスを招く可能性がある。
対応策
影響を受ける環境で必要となるのは、この脆弱性の修正が含まれる Docker Engine 29.3.1 以降への速やかなアップグレードである。対象となるすべてのユーザーに対して、Docker は早急なアップデートを強く推奨している。
迅速なアップデートが困難な場合、以下の対策が推奨される。
- リクエスト・ボディ検査に依存する AuthZ プラグインの使用を停止する。
- Docker API へのアクセスを信頼できるユーザーのみに制限し、最小権限の原則を適用する。
この脆弱性は、セキュリティ研究者により責任を持って開示され、Docker コミュニティ主導で修正された。
訳者後書:Docker Engine の脆弱性 CVE-2026-34040 は、以前に報告された CVE-2024-41110 に対する修正が不十分だったことに起因します。大きなサイズのリクエストを処理する際に、本来 AuthZ プラグインへ送られるべきデータが消えてしまうという、特殊な不具合が潜んでいました。そのため、認可の判断に必要な情報がプラグインに届かず、本来は拒否されるべき不正な操作が、誤って許可されてしまう状況が生じています。ご利用のチームは、ご注意ください。よろしければ、Docker で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.