資格情報(Credential)が漏洩する可能性がある脆弱性 ( “ContainerDrip” : CVE-2020-15157 )

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

10/15/2020に”ContainerDrip”と呼ばれる、1.2.13以前のcontainerdを用いている場合に資格情報(Credential)が漏洩する可能性がある脆弱性が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューション/各社の対応について簡単に纏めてみます。

関連するCVEは CVE-2020-15157 になります。



関連ニュース


Priority

CVE番号PriorityCVSS Score / CVSS Vector
CVE-2020-15157

NVD: 6.1 Medium

NVD: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:N

問題の詳細

詳しくは一次情報源の情報を確認して下さい。

CVE概要(詳細はCVEのサイトをご確認ください)

  • 資格情報の漏洩
  • OCI ImageフォーマットDocker Image V2 Schema 2 フォーマットのコンテナイメージManifestファイルで特定のイメージレイヤー(“Foreign Layer”と別名で呼ばれているもの)のロケーションURLを含んでいる場合、デフォルトのcontainerd リゾルバはURLに従ってダウンロードを試みます。(1.3.0以上ではない) v1.2.xのデフォルトcontainerd リゾルバはURLに記載されているサーバがHTTP 401 (有効な認証資格が不足している) ステータスコードをヘッダで返した場合、認証情報の資格情報(クレデンシャル)を提供します。

    攻撃者が制御可能なWebサーバにフェッチするように指示するManifestファイルとパブリックイメージを公開した場合、ユーザやシステムを騙してイメージをPullさせることにより、ユーザの資格情報を取得できます。場合によっては、これはユーザ名とパスワードだったり、そのアカウントが他のクラウドリソースへのアクセスを許可できるような資格情報である可能性があります。

Workaround(迂回方法)

  • containerdが1.3以上の場合には、この問題は発生しません。
  • 1.2.13以下のcontainerdの場合には、Pullイメージを信頼できるソースから取得するように気をつける必要があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューション/ベンダーの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。


セキュリティ系連載案内

セミナー情報1

コンピュータセキュリティシンポジウム(CSS)2020併設のワークショップ、 OSSセキュリティ技術ワークショップ(OWS) 2020の企画講演セッション及び、 一般論文セッションの発表募集をさせていただきます。

今年度はオンラインでの開催となります。奮ってのご投稿、お待ちしております。

https://www.iwsec.org/ows/2020/


タイトルとURLをコピーしました