containerdコミュニティは最近、中程度の重大度と評価される脆弱性CVE-2023-25153とCVE-2023-25173を発見しました。
- CVE-2023-25153: システムがOpen Container Initiative (OCI) イメージをインポートするときに、特定のファイルから読み取ることができるバイト数に制限はありません。 攻撃者は、このような制限が課されていない大きなファイルを含むイメージを作成してインポートすることにより、この脆弱性を悪用してDoS攻撃を開始できます。
- CVE-2023-25173: 補足グループが適切に構成されていないコンテナに直接アクセスし、補足グループアクセスを操作できる場合、ユーザーは補足グループアクセスを使用して特定のケースでプライマリグループの制限を回避し、機密情報にアクセスしたり、コンテナ内のコードを実行したりする権限を取得できます。
影響の範囲
重要
- containerdランタイムを使用するノードは、CVE-2023-25153とCVE-2023-25173の影響を受けます。
- containerdクライアントを使用するアプリケーションは、CVE-2023-25173の影響を受けます。
次のcontainerdバージョンが影響を受けます。
- 1.6.0から1.6.17
- ≤ 1.5.17
この脆弱性は次のcontainerdの版で修正されます:
- 1.6.18
- 1.5.18
緩和
次の方法を使用して、脆弱性の影響を軽減できます。
- Container Service for Kubernetes (ACK) のポリシーガバナンス機能が提供するACKAllowedReposポリシーを有効にして、信頼できるイメージのみが使用されるようにします。 さらに、最小特権の原則に従い、信頼できるユーザーのみにイメージをインポートする権限を付与します。 詳細については、「ポリシーガバナンス機能の有効化」をご参照ください。
- 脆弱性を修正する前に、Dockerfilesでイメージをビルドするときに
USER $USERNAMEパラメーターを指定しないでください。 代わりに、ENTRYPOINTパラメーターをENTRYPOINT ["su", "-", "user"]形式の値に設定して、suが補足グループを適切に設定できるようにします。 - ACKのリリースノートに注意を払い、最も早い機会にこの脆弱性を修正するcontainerdを更新して下さい。 containerdのリリースノートの詳細については、「containerdのリリースノート」をご参照ください。