2022年2月4日、Linuxカーネルにおいて、「CVE-2022-0492」として特権昇格の脆弱性が特定された。っこれはcgroupsのバグで、最近発見されたLinuxの特権昇格系バグとしては注目すべきものとされている。この脆弱性を悪用されると、悪意あるコンテナがエスケープできてしまったり、権限を持たないプロセスが特権昇格して権限を獲得することができたりするとされており注意が必要。
この脆弱性について、Palo Alto Networksが3月3日(米国時間)に公開した次の記事の説明がわかりやすい。
この脆弱性を悪用されるとコンテナを脱出することが可能になるとされているものの、幸いなことに、AppArmorやSELinuxなどのセキュリティ機能を利用するといったベストプラクティスに従って構築された環境では、この脆弱性の影響は受けないという。
Palo Alto Networksは、脆弱性が修正されたLinuxカーネルへアップグレードすることを推奨しているほか、コンテナを利用している場合はSeccompを有効化するとともにAppArmorまたはSELinuxを利用することを推奨している。
コンテナからエスケープできるタイプの脆弱性が発見されるのはこれが初めてではない。CVE-2022-0492はここ数カ月において発見された同類の脆弱性としては3つ目となる。コンテナ環境であっても脆弱性のリスクがあることを認識するとともに、必要に応じてアップデートを適用することが望まれる。