米Dockerは、「Apache Commons Text」が抱える脆弱性がDockerイメージにも影響することを10月21日(現地時間)に明らかにした。
この脆弱性は米国立標準技術研究所(NIST)が「CVE-2022-42889(Text4Shell)」として10月13日に公開したもので、Apache Commons Textのバージョン1.5〜1.9で、任意のコードの実行や、リモートサーバーへの接続を可能にしてしまうというものだ。
Dockerの説明によると、該当バージョンのApache Commons Textを使用していて、「StringSubstitutor」クラスを使用したコードが存在し、文字列入力を受け付け、それをStringSubstitutorクラスで処理している場合、そのDockerイメージは脆弱性を抱えているという。
脆弱性の有無を確認するには、Dockerが提供しているコマンドラインツール「docker scan」を実行すれば良い。対象のイメージに脆弱性が見つかったら、コマンド画面で知らせてくれる。脆弱性を解消するには、Apache Commons Textのバージョンを1.10に更新する必要がある。
そしてDockerはDocker Hubで公開しているDocker公式イメージや、認定パブリッシャーのイメージのスキャンを始めていることも明かした。スキャンの結果、脆弱性が見つかったイメージには、アイコンと警告のメッセージが付く。そして、今回の脆弱性はDockerイメージに影響するもので、Docker DesktopやDocker Hubには影響しないとしている。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
