つみかさね
D

Docker v29.4.2

リリース日: 2026-05-02データソース: GitHub Releases, npm, endoflife.date
影響度スコア
35/ 100影響度: 中
Breaking Changes0/40
新機能0/25
バグ修正5/20
セキュリティ12/15
依存関係3/15

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1CVE-2026-31431 の影響範囲を確認
  2. 2カスタム seccomp プロファイルを使用している場合は AF_ALG/socketcall の利用有無を確認
  3. 3テスト環境で v29.4.2 へのアップデートを検証
  4. 4本番環境に適用

影響対象

Docker利用者コンテナ本番運用者

補足

  • -デフォルト seccomp プロファイルの変更が含まれるため、カーネル暗号 API を利用するワークロードでは事前確認を推奨します
DockerセキュリティCVEseccompコンテナインフラ

この変更が意味すること

Docker v29.4.2 がリリースされました。CVE-2026-31431 に対するセキュリティ修正を含むパッチリリースです。

デフォルトの seccomp プロファイルに AF_ALG ソケットと socketcall(2) マルチプレクサのブロックが追加されました。これにより、カーネル暗号 API(通称 "Copy Fail")を利用したコンテナ内からの権限昇格攻撃を防止します。コンテナを本番運用している環境では早めのアップデートを推奨します。

seccomp プロファイルをカスタマイズしている場合は、AF_ALG ソケットや socketcall(2) を明示的に許可していないか確認してください。

主な変更点

CVE-2026-31431: seccomp プロファイルの強化

デフォルトの seccomp プロファイルで AF_ALG ソケットと socketcall(2) マルチプレクサがブロックされるようになりました。カーネル暗号 API を利用したコンテナ内での権限昇格("Copy Fail" 攻撃)を防止するための hardening です。

  • AF_ALG ソケットはカーネルの暗号化サブシステムへのユーザースペースインターフェース
  • socketcall(2) は複数のソケット操作を1つのシステムコールで行うマルチプレクサ
  • これらをブロックすることで、攻撃面を縮小

PR: moby/moby#52501

注意: カーネル暗号 API をコンテナ内から利用しているワークロード(暗号化ハードウェアアクセラレーションを直接利用するケースなど)は、カスタム seccomp プロファイルの調整が必要になる可能性があります。

EOL / サポート状況

サイクル最新バージョンステータスEOL
2929.4.2アクティブ-
2828.5.2アクティブ-
2727.5.1EOL2025-05-03
26.126.1.5EOL2025-02-17
26.026.0.2EOL2024-06-08

Docker 29 系は現在アクティブにサポートされています。Docker 27 以前は既に EOL のため、28 または 29 系へのアップグレードを推奨します。

開発者への影響

  1. Docker を本番運用中の方: CVE-2026-31431 の緩和策が含まれます。セキュリティ修正のため早めのアップデートを推奨
  2. seccomp プロファイルをカスタマイズしている方: AF_ALG ソケットや socketcall(2) を利用している場合、ブロックされる可能性があるため確認が必要
  3. カーネル暗号 API を利用していない方: デフォルト設定のままで追加の対応は不要。通常のコンテナワークロードには影響しません
  4. Docker 27 以前を使用中の方: EOL 済みのため、28 または 29 系へのアップグレードを推奨します

アップデート方法

# Docker Desktop の場合
# アプリケーションの設定から自動アップデートを確認

# Linux(apt)
sudo apt-get update && sudo apt-get install docker-ce docker-ce-cli

# Linux(yum)
sudo yum update docker-ce docker-ce-cli

データソース: GitHub Releases API, endoflife.date AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

アップデート判断

早めのアップデートを推奨

アップデートすべき場合

  • Docker を本番環境で運用している場合
  • セキュリティポリシーで CVE 対応が求められている場合

様子見でよい場合

  • カーネル暗号 API をコンテナ内で利用しており seccomp プロファイルの調整が必要な場合(検証してからアップデート)
← v29.4.1

EOL / サポート状況

Docker 29Active
Docker 28Active
Docker 27End of LifeEOL: 2025-05-03
Docker 26.1End of LifeEOL: 2025-02-17
Docker 26.0End of LifeEOL: 2024-06-08
Xでシェアはてブ
データソース: GitHub Releases API, npm Registry, endoflife.date (MIT License), NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文リリースノートをご確認ください。