つみかさね
D

Docker v29.4.3

リリース日: 2026-05-07データソース: GitHub Releases, npm, endoflife.date
影響度スコア
42/ 100影響度: 中
Breaking Changes0/40
新機能0/25
バグ修正17/20
セキュリティ13/15
依存関係12/15

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1テスト環境でDockerデーモンをv29.4.3にアップデート
  2. 232ビットワークロードの動作確認
  3. 3SELinux環境の場合はselinux-enabled設定を確認
  4. 4本番環境に適用
  5. 5動作確認を実施

影響対象

Docker利用者32ビットワークロード利用者

補足

  • -CVE-2026-31431の修正を含むセキュリティパッチです
  • -SELinux環境ではdaemon.jsonでselinux-enabled: trueが必要です
DockerCVEセキュリティseccompAppArmorSELinux

この変更が意味すること

Docker v29.4.3 がリリースされました。CVE-2026-31431 の修正を含むセキュリティパッチリリースです。

v29.4.2 で導入された seccomp の広範な socketcall(2) 拒否ルールが、32ビットプログラムおよび i386 イメージを壊すリグレッションを引き起こしていました。本リリースでは、この問題を根本的に解決するため、seccomp ルールを LSM(Linux Security Module)層のターゲットを絞ったルールに置き換えています。

Docker を本番環境で利用している方は、特に 32ビットワークロードを実行している場合、早めのアップデートを推奨します。

主な変更点

CVE-2026-31431: 32ビットプログラム・i386リグレッションの修正

v29.4.2 で AF_ALG ソケットをブロックするために導入された seccomp の socketcall(2) 全面拒否が、32ビットプログラムの正常な動作まで阻害していました。

本修正では、seccomp ルールを以下のターゲットを絞ったアプローチに置き換えています:

  • AppArmor: deny network alg ルールで AF_ALG を LSM 層でブロック
  • SELinux: alg_socket ルールで AF_ALG をブロック

これにより、socket(2)socketcall(2) の両方のパスで AF_ALG がブロックされつつ、正当な32ビットワークロードには影響しなくなりました。

PR: moby/moby#52537

重要: SELinux ベースのシステムでは、この修正を有効にするためにデーモンで SELinux を有効にする必要があります:

{
  "selinux-enabled": true
}

または CLI フラグ --selinux-enabled を使用してください。デフォルトでは無効である点に注意してください。

デフォルト AppArmor プロファイルの修正

デフォルトの AppArmor プロファイルにも修正が含まれています。

EOL / サポート状況

サイクル最新バージョンサポートEOL
2929.4.3Active- (現行)
2828.5.2Active未定
2727.5.1EOL済2025-05-03 (EOL済)
26.126.1.5EOL済2025-02-17 (EOL済)

Docker 29 が現行のアクティブリリースラインです。27 以前は EOL 済のため、28 または 29 への移行を推奨します。

開発者への影響

  1. 32ビットワークロード利用者: v29.4.2 で壊れていた 32ビットプログラム・i386 イメージが正常に動作するようになります。早急にアップデートしてください
  2. SELinux 環境の利用者: SELinux の緩和策を有効にするには selinux-enabled: true の設定が必要です
  3. AppArmor 環境の利用者: AppArmor ルールが自動的に適用されます。追加設定は不要です
  4. v29.4.2 未使用の場合: v29.4.1 以前からアップデートする場合も、本バージョンへの直接アップデートを推奨します

アップデート方法

# Ubuntu/Debian
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io

# CentOS/RHEL
sudo yum update docker-ce docker-ce-cli containerd.io

# Docker Desktop の場合はアプリケーションのアップデートを確認

データソース: GitHub Releases API, endoflife.date AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

アップデート判断

早めのアップデートを推奨

アップデートすべき場合

  • Docker v29.4.2を使用している場合(リグレッション修正)
  • 32ビットプログラムやi386イメージを実行している場合
  • セキュリティパッチを早期に適用するポリシーがある場合

様子見でよい場合

  • Docker 28以前を使用しており直接の影響がない場合
← v29.4.2

EOL / サポート状況

Docker 29Active
Docker 28Active
Docker 27End of LifeEOL: 2025-05-03
Docker 26.1End of LifeEOL: 2025-02-17
Xでシェアはてブ
データソース: GitHub Releases API, npm Registry, endoflife.date (MIT License), NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文リリースノートをご確認ください。