2024年3月に発見されたXZ-Utilsバックドアが、Docker Hub上の少なくとも35のLinuxイメージに残っており、ユーザーや組織、データに危険をもたらす可能性があります。Docker Hubは、開発者が事前に構築したイメージを共有する公式のコンテナイメージレジストリです。このバックドアは、OpenSSHでの認証を回避し、攻撃者がリモートからコマンドを実行できる脆弱性を持っています。Binarlyの研究者は、このバックドアがまだ公開されているDockerイメージが存在することを確認しました。特に、Debianはリスクが低いと判断し、問題のあるイメージを削除しない決定をしました。これに対し、Binarlyは、古いイメージの存在が自動ビルドや accidental pulls につながるリスクがあると警告しています。ユーザーは、XZ-Utilsライブラリがバージョン5.6.2以上であることを手動で確認することを推奨されています。また、このバックドアは公式のLinuxディストリビューションパッケージに含まれ、多くの環境に影響を与えました。Debianの方針については、さらなる議論が必要です。以上のことから、セキュリティ対策としては最新のイメージを使用し、ライブラリのバージョン確認が重要です。
Read more
Docker HubにXZバックドアを持つLinuxイメージが多数存在
未分類
コメント