概要
Docker Model Runner (DMR) は、Dockerを使用してAIモデルの管理、実行、デプロイを行うソフトウェアです。このDMRのバージョン1.0.16より前のバージョンに、認証なしで任意のランタイムフラグを注入できる脆弱性 (CVE-2026-28400) が存在すると報告されています。
具体的には、POST /engines/_configure エンドポイントが認証なしで任意のランタイムフラグを受け入れ、これらが基盤となる推論サーバー(llama.cpp)に直接渡されることが原因とされています。
影響範囲
- Docker Model Runner バージョン 1.0.16 より前のバージョン
- Docker Desktop バージョン 4.61.0 より前のバージョン(DMRがデフォルトで有効になっているバージョン4.46.0以降を含む)
想定される影響
- 攻撃者は、DMR APIへのネットワークアクセスがあれば、
--log-fileフラグを注入することで、DMRプロセスがアクセス可能な任意のファイルを書き換えたり、上書きしたりできる可能性があります。 - 特に、Docker Desktopにバンドルされている場合(バージョン4.46.0以降でDMRがデフォルトで有効)、
model-runner.docker.internal経由で認証なしにアクセス可能です。この状況では、Docker DesktopのVMディスク(Docker.raw)がターゲットとなり、すべてのコンテナ、イメージ、ボリューム、ビルド履歴が破壊される可能性があります。 - 特定の構成およびユーザー操作を伴う場合、この脆弱性がコンテナエスケープに繋がる可能性も指摘されています。
攻撃成立条件・悪用状況
- 攻撃者は、Docker Model Runner APIへのネットワークアクセスが必要です。
- Docker Desktop環境では、デフォルトのコンテナから
model-runner.docker.internalへのアクセスが可能です。 - 現時点での具体的な悪用状況については、この情報からは不明です。
推奨対策
最優先で実施すべき対策
- Docker Model Runner のアップデート: Docker Model Runner をバージョン 1.0.16 以降にアップデートしてください。
- Docker Desktop のアップデート: Docker Desktop をバージョン 4.61.0 以降にアップデートしてください。このバージョンには修正済みのModel Runnerが含まれています。
一時的な緩和策
Docker Desktop ユーザー向け
- Enhanced Container Isolation (ECI) の有効化: ECIを有効にすることで、コンテナからModel Runnerへのアクセスがブロックされ、悪用を防ぐことができるとされています。
- 注意点: 特定の構成でDocker Model RunnerがTCP経由でlocalhostに公開されている場合、ECIを有効にしても脆弱性が悪用される可能性があります。
確認方法
ご使用のDocker Model RunnerまたはDocker Desktopのバージョンを確認し、上記の影響範囲に該当するかどうかをご確認ください。