界: Environment

このセクションには、ソース コード以外のものでも、作成中の製品のセキュリティにとって重要なものがすべて含まれています。この分野が対象とする問題は、ソース コードに直接関係しないため、この分野の他の部分と分けました。

Dockerfile Misconfiguration: Dependency Confusion

Abstract
非特定のバージョンを使用してビルドの依存関係を取得すると、ビルド システムが悪意のあるバイナリに対して脆弱なままになるか、システムで予期しない動作が発生する可能性があります。
Explanation
Dockerfile では、依存関係とベース イメージを、バージョンの範囲を限定せずに指定できます。攻撃者が、悪意のあるバージョンの依存関係をリポジトリに追加したり、ビルド システムに攻撃者の制御下にあるリポジトリから依存関係をダウンロードするように仕向けたりできる場合、Docker が特定のバージョンの依存関係なしで設定されていると、Docker は侵害された依存関係をサイレントにダウンロードして実行します。

このタイプの弱点は、攻撃者が開発者による設定ミスを利用したり、タイポスクワッティングしたり、悪意のあるパッケージをオープン ソース リポジトリに追加したりするサプライ チェーン攻撃の結果として、悪用される可能性があります。このタイプの攻撃では、公開されたパッケージの信頼を悪用して、データにアクセスし、盗み出します。

Docker では、latest タグが、バージョンを提供するためにダイジェストまたは一意のタグを使用しないイメージのバージョン レベルを自動的に示します。Docker は自動的に、最新のイメージ マニフェスト ファイルを指すメカニズムとして latest タグを割り当てます。タグは変更可能であるため、攻撃者は latest (または imagename-lst, imagename-last, myimage などの弱いタグ) を使用して、イメージやレイヤーを置き換えることができます。

例 1: 次の設定では、最新バージョンの ubuntu を使用してベース イメージを選択するように Docker に指示します。

    FROM ubuntu:Latest
    ...


Docker は、パッケージ マネージャーをサポートするように設定されたリポジトリが信頼できるかどうかを検証しません。

例 2: 次の設定では、指定されたパッケージの最新バージョンを取得するように、パッケージ マネージャー zypper に指示します。

...
zypper install package
...
Example 2 では、リポジトリが侵害された場合、攻撃者は動的基準を満たすバージョンをアップロードするだけで、zypper が悪意のあるバージョンの依存関係をダウンロードするように仕向けることができます。

References
[1] Best practices for writing Dockerfile
[2] Standards Mapping - Common Weakness Enumeration CWE ID 20
[3] Standards Mapping - Common Weakness Enumeration Top 25 2019 [3] CWE ID 020
[4] Standards Mapping - Common Weakness Enumeration Top 25 2020 [3] CWE ID 020
[5] Standards Mapping - Common Weakness Enumeration Top 25 2021 [4] CWE ID 020
[6] Standards Mapping - Common Weakness Enumeration Top 25 2022 [4] CWE ID 020
[7] Standards Mapping - Common Weakness Enumeration Top 25 2023 [6] CWE ID 020
[8] Standards Mapping - Common Weakness Enumeration Top 25 2024 [12] CWE ID 020
[9] Standards Mapping - FIPS200 CM
[10] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[11] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.1.3 Input Validation Requirements (L1 L2 L3), 5.1.4 Input Validation Requirements (L1 L2 L3)
[12] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[13] Standards Mapping - OWASP Mobile 2024 M2 Inadequate Supply Chain Security
[14] Standards Mapping - OWASP Top 10 2004 A10 Insecure Configuration Management
[15] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration
[16] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[17] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[18] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[19] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.10
[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.6
[21] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.6
[22] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.6
[23] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.6
[24] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[25] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4
[26] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection
[27] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection
[28] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection
[29] Standards Mapping - SANS Top 25 2009 Insecure Interaction - CWE ID 020
[30] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.configuration.docker.dockerfile_misconfiguration_dependency_confusion