30秒で判断
対応すべき人
podman buildまたはbuildahを使用してコンテナイメージをビルドしている- CIパイプラインで
podman buildまたはbuildahを使用している
対応不要な人
- DockerのみでDockerデーモン経由でビルドしている(podman/buildahを使用していない)
podman buildは使用しているが--jobsオプションを使用していない(ただしパッチ適用を推奨)- すでにRHSA-2025:0830等のパッチを適用済み
確認コマンド
# podmanバージョン確認
podman --version
# buildahバージョン確認
buildah --version
# インストール済みパッケージ確認(Red Hat系)
rpm -qi podman buildah
概要
コンテナビルドツールpodman buildとbuildahに、競合状態(Race Condition)を利用したコンテナブレイクアウト脆弱性があります。
--jobs=2オプション(並列ビルド)を使用した場合に、悪意あるContainerfile(Dockerfile相当)を処理する際の競合状態によりコンテナの隔離が破れ、ホスト上のファイルやディレクトリへのアクセスが可能になります。SELinuxが有効な環境でも、ホスト上のファイル・ディレクトリの列挙(読み取り)は防げない場合があります。
CIパイプラインで外部リポジトリのContainerfileをビルドしている場合は特に注意が必要です。
CVSSベクトル
| 指標 | 値 | 説明 |
|---|---|---|
| Attack Vector | Local | ローカルでの実行が必要 |
| Attack Complexity | High | 競合状態の利用が必要 |
| Privileges Required | Low | 一般ユーザー権限 |
| User Interaction | None | ユーザー操作不要 |
| Confidentiality | High | 機密性への影響:高 |
| Integrity | High | 完全性への影響:高 |
| Availability | High | 可用性への影響:高 |
影響を受けるソフトウェア
| 製品 | バージョン |
|---|---|
| podman | パッチ適用前のバージョン |
| buildah | パッチ適用前のバージョン |
修正バージョンと回避策
パッチ適用
以下のRed Hat Security Advisoryを確認してください:
- RHSA-2025:0830 / RHSA-2025:0878 / RHSA-2025:0922 / RHSA-2025:0923 / RHSA-2025:1186
# Red Hat / Fedora / CentOS Stream
sudo dnf update podman buildah
回避策
パッチ適用までの間、--jobs=2以上の並列ビルドオプションを使用しないことで攻撃リスクを軽減できます。
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。