プラットフォーム
docker
コンポーネント
podman-desktop
修正版
1.26.3
Podman Desktopは、コンテナとKubernetesでの開発を容易にするグラフィカルツールです。バージョン1.26.2より前のPodman Desktopには、認証なしのHTTPサーバーが公開されており、ネットワーク上の攻撃者がリモートでDoS攻撃を引き起こしたり、機密情報を抽出したりする可能性があります。接続制限とタイムアウトの欠如を悪用することで、ファイル記述子やカーネルメモリを枯渇させ、アプリケーションのクラッシュやホストの完全なフリーズにつながる可能性があります。また、詳細なエラー応答は、内部パスやシステムの詳細(Windows上のユーザー名を含む)を明らかにし、さらなる悪用を助長します。バージョン1.26.2で修正されています。
CVE-2026-34045は、Podman Desktopの1.26.2より前のバージョンに影響します。この脆弱性は、アプリケーションによって公開されている認証されていないHTTPサーバーに存在します。ネットワーク上の攻撃者は、接続制限とタイムアウトの欠如を利用して、ファイル記述子とカーネルメモリを枯渇させ、アプリケーションのクラッシュやホストシステムの完全なフリーズにつながる可能性があります。さらに、詳細なエラー応答は、内部パスとシステム情報を公開する可能性があり、開発環境のセキュリティを損なう可能性があります。この脆弱性の重大度は、CVSSスケールで8.2と評価されており、重大なリスクを示しています。
Podman Desktopを実行しているシステムへのネットワークアクセス権を持つ攻撃者は、この脆弱性を悪用できます。認証は不要であり、悪用が比較的容易になります。攻撃者はHTTPサーバーに大量のリクエストを送信し、システムリソースを枯渇させてサービス拒否を引き起こす可能性があります。詳細なエラー応答を介して機密情報が公開されると、攻撃者はさらなる攻撃のために貴重な洞察を得られる可能性があります。この脆弱性は、Podman DesktopがコンテナとKubernetesの管理に使用される開発環境で特に懸念されます。
Developers using Podman Desktop for container and Kubernetes development are at risk, particularly those with Podman Desktop exposed to untrusted networks or those running Podman Desktop on shared hosting environments. Users with legacy Podman Desktop installations are also vulnerable.
• linux / server:
ps aux | grep podman-desktop
journalctl -u podman-desktop -f• generic web:
curl -I http://localhost:8080/healthdisclosure
エクスプロイト状況
EPSS
0.07% (22% パーセンタイル)
CISA SSVC
この脆弱性に対する解決策は、Podman Desktopをバージョン1.26.2以降に更新することです。この更新により、HTTPサーバーの適切な接続制限とタイムアウトが実装され、リソースの枯渇のリスクが軽減されます。ユーザーは、潜在的な攻撃から身を守るために、できるだけ早くPodman Desktopのインストールを更新することを強くお勧めします。さらに、Podman Desktopによって公開されるサービスへの不正アクセスを制限するために、ネットワークセキュリティポリシーをレビューおよび強化することが推奨されます。ネットワークアクティビティを疑わしいパターンで監視することも、潜在的な搾取試行を検出および対応するのに役立ちます。
Actualice Podman Desktop a la versión 1.26.2 o superior para mitigar la vulnerabilidad. Esta actualización corrige las deficiencias de manejo de conexiones y timeouts que permiten ataques de denegación de servicio y la exposición de información sensible.
脆弱性分析と重要アラートをメールでお届けします。
Podman Desktopは、コンテナとKubernetesの開発のためのグラフィカルツールです。
Podman Desktopをアプリケーションのインターフェースまたは公式ウェブサイトから最新バージョンをダウンロードすることで、バージョン1.26.2以降に更新できます。
すぐに更新できない場合は、リスクを軽減するためにPodman Desktopへのネットワークアクセスを制限することを検討してください。
現在、この脆弱性を検出するための特定のツールはありませんが、最新バージョンに更新することが最良の防御です。
CVSS 8.2は、高重大度の脆弱性を示し、悪用される可能性が高く、重大な影響を与える可能性があります。
CVSS ベクトル
Dockerfile ファイルをアップロードすると、影響の有無を即座にお知らせします。