CyberQ 賽博客
沒有結果
觀看所有搜尋結果
  • 首頁
    • 關於我們
    • 隱私權政策
  • 新聞
  • AI 人工智慧
    • AI 應用實戰
    • AI 代理
  • 資安
    • ISO 合規
  • Docker
    • 虛擬化
  • 進階應用
    • DevOps
    • 程式開發
    • 企業解決方案
  • 網通
    • 100GbE
    • 10GbE
  • NAS
  • 開箱測試
    • 選購指南
  • 教學
    • DR.Q 快問快答
  • 展覽直擊
聯繫我們
  • 首頁
    • 關於我們
    • 隱私權政策
  • 新聞
  • AI 人工智慧
    • AI 應用實戰
    • AI 代理
  • 資安
    • ISO 合規
  • Docker
    • 虛擬化
  • 進階應用
    • DevOps
    • 程式開發
    • 企業解決方案
  • 網通
    • 100GbE
    • 10GbE
  • NAS
  • 開箱測試
    • 選購指南
  • 教學
    • DR.Q 快問快答
  • 展覽直擊
沒有結果
觀看所有搜尋結果
CyberQ 賽博客
沒有結果
觀看所有搜尋結果
  • 首頁
  • 新聞
  • AI 人工智慧
  • 資安
  • Docker
  • 進階應用
  • 網通
  • NAS
  • 開箱測試
  • 教學
  • 展覽直擊
首頁 新聞

Docker Compose 驚爆 8.9 分高風險漏洞!攻擊者僅需誘使執行 ps 指令即可接管系統

Walter Black by Walter Black
2025 年 11 月 01 日 18:00
in 新聞, 資安
閱讀時間: 3 分鐘
A A
Docker Compose 驚爆 8.9 分高風險漏洞!攻擊者僅需誘使執行 ps 指令即可接管系統
316
觀看數
分享到臉書分享到 X分享到Line分享到 Threads分享到 Linkedin

CVE-2025-62725 路徑遍歷漏洞分析:從 OCI 映像檔到任意檔案寫入,開發者應立即升級

Docker Compose 是數百萬開發者與企業賴以建立、執行和部署應用程式的核心工具。然而,資安公司 Imperva 近期揭露的一個高風險漏洞(CVE-2025-62725)情資顯示,即便是執行 docker compose ps 這樣看似無害的「唯讀」指令,也可能導致我們有在使用 Docker 的主機系統遭到入侵。

RELATED POSTS

Anthropic 低價 Sonnet 5 衝刺 IPO,美政府亦解除對Fable 5 和 Mythos 5 的出口管制|產業精選 07.01

母公司喊安、子公司爆外洩?PChome 與比比昂面臨暗網威脅與個資外流的雙重考驗

Rocket Lab收購銥衛星|AI筆記裝置Pocket募資|Busy Bar 可自訂螢幕|產業精選 06.29 下

這個漏洞存在於 Docker Compose 處理 OCI (Open Container Initiative) 映像檔的新功能中,其危險性在於它打破了開發者對於「唯讀指令是安全的」的基本信任。

漏洞核心在於信任遠端路徑的缺陷

此漏洞被編號為 CVE-2025-62725(GitHub 安全公告編號為 GHSA-gv8h-7v7w-r22q),CVSS 評分高達 8.9(高風險)。漏洞的根源在於 Docker Compose 處理 OCI 映像檔中的「層註釋」(layer annotations)時,存在一個嚴重的路徑遍歷(Path Traversal)缺陷。

根據 Imperva 的資安研究員 Ron Masas 的分析,為了讓 Compose 專案更具可攜性,Docker 新增了讀取 OCI 映像檔作為 Compose 檔案來源的功能。當 Compose 下載並重建這些遠端 OCI 映像檔時,它會讀取其中的註釋,例如:

com.docker.compose.file

com.docker.compose.envfile

com.docker.compose.extends

問題在於,舊版 Compose 完全信任這些註釋中提供的檔案路徑。

Docker compose ps 如何觸發系統入侵的攻擊情境?

攻擊者可以精心製作一個惡意的 OCI 映像檔,並在其註釋中插入一個路徑遍歷的字串,例如 ../../home/user/.ssh/authorized_keys。

接著,攻擊者僅需透過社交工程或其他方式,誘使開發者在其 docker-compose.yaml 檔案中「包含 (include:)」這個惡意的遠端 OCI 映像檔。

最關鍵的危險點在於,受害者不需要執行 docker compose up 來啟動容器。

受害者只要在該目錄下執行任何會強制 Compose 解析遠端映像檔的指令,例如:

docker compose ps (查看當前狀態)

docker compose config (驗證和查看配置)

Compose 就會開始下載並處理該惡意 OCI 映像檔。當它讀取到惡意的路徑註釋時,會將攻擊者提供的檔案內容(例如攻擊者的 SSH 公鑰)寫入到本地快取目錄之外的任意位置。

在 Imperva 展示的 PoC 中,攻擊者成功利用此漏洞,將自己的公鑰寫入了受害者主機的 ~/.ssh/authorized_keys 檔案中,進一步獲得了對受害者系統的完整 SSH 存取權限。

影響範圍與 Docker 官方修補

這個漏洞的影響範圍極廣,幾乎涵蓋了所有使用 Docker Compose 的環境:

Docker Desktop (Windows, macOS, Linux)

獨立的 Docker Compose 二進位檔

CI/CD 執行器 (Runners)

雲端開發環境

受影響版本:

Docker Compose v2.40.2 之前的所有版本。

官方解決方案

Docker 團隊在接獲通報後迅速採取行動,並已於 v2.40.2 版本中修復了此漏洞。

根據 Docker 的 GitHub 安全公告,修補方式是在 pkg/remote/oci.go 檔案中引入了一個新的 validatePathInBase() 函數。此函數會對 OCI 註釋中提供的路徑進行標準化和驗證,確保解析後的最終路徑絕對位於快取目錄內部,拒絕任何試圖「跳出」快取目錄的絕對路徑或遍歷嘗試。

官方版本釋出後,各 Linux distro 陸續更新了 docker compose 套件,本例是 Ubuntu Linux 更新的 docker-compose-plugin 2.40.3-1。

立即升級 Docker 並重新審視供應鏈安全

CyberQ 觀察,CVE-2025-62725 告訴我們一個經典但致命又常見的資安疏忽,永遠不要信任來自遠端的任何輸入,即使它只是 YAML 設定檔中的一個路徑。

對於所有開發者、維運團隊和資安人員來說,要減少未來風險的話,我們需要進行:

1、立即升級,將所有環境中的 Docker Compose(包括 Docker Desktop)更新至 v2.40.2 或更高版本。

2、審核依賴,重新嚴格審核 docker-compose.yaml 中包含的任何遠端資源或 OCI 映像檔,確保其來源可信。

3、打破迷思 「唯讀」指令不代表「無風險」的迷思,在現代複雜的工具鏈中,任何涉及網路 I/O 和檔案解析的操作都可能成為攻擊的一環。

正如 Imperva 在其分析報告中所強調的:

「即便是 YAML,也要對每個路徑進行過濾。」

Imperva
Share4Tweet2ShareShareShare1
上一篇

新品聚焦不中斷服務、AI 與資料韌性 – QNAP World Tour 2025 台北展場直擊

下一篇

你的掃地機器人也能「被遙控」?工程師發現遠端停機指令與資安疑慮

Walter Black

Walter Black

具備多年專案管理、資訊架構、VM環境、雲服務、中大型資訊機房建置經驗,ISO 27001:2022 LA。

相關文章

新聞

Anthropic 低價 Sonnet 5 衝刺 IPO,美政府亦解除對Fable 5 和 Mythos 5 的出口管制|產業精選 07.01

2026 年 7 月 1 日
母公司喊安、子公司爆外洩?PChome 與比比昂面臨暗網威脅與個資外流的雙重考驗
新聞

母公司喊安、子公司爆外洩?PChome 與比比昂面臨暗網威脅與個資外流的雙重考驗

2026 年 6 月 30 日
新聞

Rocket Lab收購銥衛星|AI筆記裝置Pocket募資|Busy Bar 可自訂螢幕|產業精選 06.29 下

2026 年 6 月 30 日
福特重聘資深工程師修正 AI 缺陷想挽回汽車品質
AI 人工智慧

福特重聘資深工程師修正 AI 缺陷想挽回汽車品質

2026 年 6 月 30 日
新聞

Gemini 個人化影像生成免費|DeepSeek DSpark 開源加速推論|Claude Code 需關注供應鏈攻擊|產業精選 06.30 上

2026 年 6 月 30 日
Google AI 人才大撤退:OpenAI 與 Anthropic 正在重塑下一代模型版圖
AI 人工智慧

Google AI 人才大撤退:OpenAI 與 Anthropic 正在重塑下一代模型版圖

2026 年 6 月 29 日
下一篇
你的掃地機器人也能「被遙控」?工程師發現遠端停機指令與資安疑慮

你的掃地機器人也能「被遙控」?工程師發現遠端停機指令與資安疑慮

Pwn2Own Ireland 2025 首日戰報:34 個 0-day 全數命中,發出 52.2 萬美元獎金

Pwn2Own Ireland 2025 首日戰報:34 個 0-day 全數命中,發出 52.2 萬美元獎金

全球頂尖駭客競賽 Pwn2Own Ireland 2025 第二日戰報, 三星旗艦手機 Galaxy S25 成全場焦點並成功破解

全球頂尖駭客競賽 Pwn2Own Ireland 2025 第二日戰報, 三星旗艦手機 Galaxy S25 成全場焦點並成功破解

推薦閱讀

Anthropic 低價 Sonnet 5 衝刺 IPO,美政府亦解除對Fable 5 和 Mythos 5 的出口管制|產業精選 07.01

2026 年 7 月 1 日
母公司喊安、子公司爆外洩?PChome 與比比昂面臨暗網威脅與個資外流的雙重考驗

母公司喊安、子公司爆外洩?PChome 與比比昂面臨暗網威脅與個資外流的雙重考驗

2026 年 6 月 30 日

Rocket Lab收購銥衛星|AI筆記裝置Pocket募資|Busy Bar 可自訂螢幕|產業精選 06.29 下

2026 年 6 月 30 日
福特重聘資深工程師修正 AI 缺陷想挽回汽車品質

福特重聘資深工程師修正 AI 缺陷想挽回汽車品質

2026 年 6 月 30 日

Gemini 個人化影像生成免費|DeepSeek DSpark 開源加速推論|Claude Code 需關注供應鏈攻擊|產業精選 06.30 上

2026 年 6 月 30 日

近期熱門

  • 美國政府同意重新開放 Anthropic 新模型部署於關鍵基礎設施,三大 AI 大廠次世代模型管制與延期內幕

    美國政府同意重新開放 Anthropic 新模型部署於關鍵基礎設施,三大 AI 大廠次世代模型管制與延期內幕

    231 shares
    Share 92 Tweet 58
  • 全球記憶體海嘯與硬體通膨:從蘋果全面漲價透視半導體產能結構性失衡

    210 shares
    Share 84 Tweet 53
  • 僅 7% 美國人依賴 AI 讀新聞!民調揭露青壯年族群反而更不信任 AI 報導

    181 shares
    Share 72 Tweet 45
  • 部署 Hermes Agent 實戰,24 小時不間斷的地端自動化 AI 助理

    162 shares
    Share 65 Tweet 41
  • AI 原被預測消滅工程職位,新資料卻顯示工程師職位反而更穩固|產業精選 06.25

    155 shares
    Share 62 Tweet 39
  • Google AI 人才大撤退:OpenAI 與 Anthropic 正在重塑下一代模型版圖

    150 shares
    Share 60 Tweet 38
  • 母公司喊安、子公司爆外洩?PChome 與比比昂面臨暗網威脅與個資外流的雙重考驗

    144 shares
    Share 58 Tweet 36
  • OpenAI 同意美政府要求延後發布 GPT-5.6,Corgi 否認竊取開源產品|產業精選 06.27

    135 shares
    Share 54 Tweet 34
  • 100GbE NFS over RDMA 實戰,直連 DGX Spark 執行 DS4 大型模型突破 AI 推理儲存瓶頸

    132 shares
    Share 53 Tweet 33
  • Gemini 個人化影像生成免費|DeepSeek DSpark 開源加速推論|Claude Code 需關注供應鏈攻擊|產業精選 06.30 上

    119 shares
    Share 48 Tweet 30

關於 CyberQ 賽博客

CyberQ 賽博客網站的命名正是 Cyber + Q ,是賽博網路、資訊、共識 / 高可用叢集、量子科技與品質的綜合體。

我們專注於企業級網路與儲存環境建構、NAS 系統整合、資安解決方案與 AI 應用顧問服務。透過以下三大面向的「Q」核心元素,我們為您提供從基礎架構到資料智慧的雙引擎驅動力:

Quorum 與 Quantum-safe

在技術架構上,是基於信任的基礎架構,CyberQ 深入掌握分散式系統中的 Quorum(一致性)、Queue(任務調度) 與 QoS(服務品質),以 Quick(效率) 解決複雜的 IT 與資安問題。同時,我們積極投入 Quantum-safe(後量子密碼學) 等新興資安領域,確保企業基礎設施在未來運算時代具備堅不可摧的長期競爭力。

Query 與 Quotient

CyberQ 是協助企業成長的 AI 引擎,在堅韌的架構之上,我們透過 Query(洞察) 解析大量資料,並以 Quotient(提升企業科技智商) 的顧問服務,將 AI 導入本機端環境與自動化工作流程中,將資料轉化為企業最具價值的數位資產。

Quest與 Quantum Leap

專業媒體與技術顧問是我們的核心雙動能。

作為科技媒體,我們秉持駭客精神持續進行科技 Quest(探索),探索海內外產業動態。

作為顧問團隊,我們結合多年第一線實務經驗,提供量身打造的最佳化解決方案,協助企業完成數位轉型的 Quantum Leap(躍進)。

新聞稿、採訪、授權、內容投訴、行銷合作、投稿刊登:[email protected]
廣告委刊、展覽會議、系統整合、資安顧問、業務提攜:[email protected]

Copyright ©2026 CyberQ.tw All Rights Reserved.

沒有結果
觀看所有搜尋結果
  • 首頁
    • 關於我們
    • 隱私權政策
  • 新聞
  • AI 人工智慧
    • AI 應用實戰
    • AI 代理
  • 資安
    • ISO 合規
  • Docker
    • 虛擬化
  • 進階應用
    • DevOps
    • 程式開發
    • 企業解決方案
  • 網通
    • 100GbE
    • 10GbE
  • NAS
  • 開箱測試
    • 選購指南
  • 教學
    • DR.Q 快問快答
  • 展覽直擊

© 2025 CyberQ NAS、資安、資訊科技、AI應用的日常 關於 CyberQ 賽博客 NAS 系統與電腦、手機一起的生活故事 多年的系統整合與資訊安全經驗,協助智慧家居、小型工作室、辦公室與機構,導入更便利、更安全的資訊環境與應用。