Чем опасна уязвимость Docker для всей инфраструктуры?

Уязвимость Docker Engine или containerd может привести к container escape — побегу из контейнера на хост-машину. Атакующий получает root-доступ к хосту и всем контейнерам на нём: базам данных, API-сервисам, очередям сообщений. Один скомпрометированный контейнер может дать доступ ко всей микросервисной архитектуре. Поэтому CVSS уязвимостей Docker часто превышает 7.0.

Как мониторить уязвимости Docker и контейнерных образов?

Мониторинг Docker-безопасности включает два уровня: уязвимости Docker Engine/containerd (отслеживаются через БДУ ФСТЭК и CVE) и уязвимости внутри контейнерных образов (сканирование через Trivy, Grype, Clair). SGRC-платформа КиберОснова отслеживает версии Docker Engine в инфраструктуре и уведомляет при появлении новых CVE с расчётом SLA по приказу ФСТЭК №117.

Нужно ли учитывать Docker при категорировании КИИ?

Если Docker используется для запуска приложений, обрабатывающих данные объектов КИИ, то контейнерная инфраструктура входит в периметр объекта КИИ. Приказ ФСТЭК №239 распространяется на все компоненты, от которых зависит функционирование значимого объекта — включая Docker Engine, оркестратор (Kubernetes) и систему хранения образов.

Уязвимости Docker: CVE, БДУ ФСТЭК и мониторинг

Name: Уязвимости Docker — БДУ ФСТЭК
Creator: ФСТЭК России
License: https://bdu.fstec.ru/

Уязвимости Docker из реестра БДУ ФСТЭК: 74 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

74уязвимостей в БДУ

Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости Docker из БДУ ФСТЭК

Последняя уязвимость: 6 марта 2026 г.·Проверено: 5 апреля 2026 г.

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 74.

Уязвимость платформы для разработки и доставки контейнерных приложений Docker Desktop for Windows, связанная с неправильным назначением разрешений для файла docker-credential-wincred.exe, позволяющая

Уязвимость средства автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации Docker, связанная с ошибками управления генерацией кода, позволяющая нарушителю оказать

Уязвимость инструмента для запуска изолированных контейнеров runc, связанная с ошибками обработки файлового дескриптора, позволяющая нарушителю выполнить произвольный код

Уязвимость функции rspamd_maps() средства развертывания и управления почтовым сервером, основанного на контейнерной технологии Docker, mailcow:dockerized, позволяющая нарушителю выполнить произвольны

Уязвимость механизма двухфакторной аутентификации (2FA) средства развертывания и управления почтовым сервером, основанного на контейнерной технологии Docker, mailcow:dockerized, позволяющая нарушителю

Уязвимость компонента CAP_NET_RAW программного обеспечения для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации Docker, позволяющая нарушителю получить дост

Уязвимость программного средства сборки контейнеров BuildKit, связанная с неправильной авторизацией, позволяющая нарушителю производить запуск контейнеров с повышенными привилегиями

Уязвимость программного средства сборки контейнеров BuildKit, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю удалить произвольные файлы за пред

Уязвимость программного средства сборки контейнеров BuildKit, связанная с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»), позволяющая нарушителю получить несанкционированны

Уязвимость платформы для разработки и доставки контейнерных приложений Docker Desktop, связанная с недостатком механизма кодирования или экранирования выходных данных, позволяющая нарушителю выполнить

2024CVE-2024-9348

Все 74 уязвимостей Docker в реестре Подключить мониторинг уязвимостей

Почему важно отслеживать уязвимости Docker

Docker — основа контейнерной инфраструктуры, используемой в микросервисных архитектурах и CI/CD-пайплайнах. Уязвимости Docker Engine и containerd опасны побегом из контейнера (container escape) — атакующий получает root-доступ на хосте. Типовые CVE: повышение привилегий через монтирование хостовой файловой системы, обход изоляции через cgroups, RCE через Docker API без аутентификации. При использовании Docker в продакшене на объектах КИИ мониторинг уязвимостей контейнерной инфраструктуры обязателен наравне с мониторингом ОС.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

Реестр БДУ ФСТЭК

Полный поиск по уязвимостям Docker

Калькулятор CVSS v4.0

Рассчитайте критичность уязвимости

Приказ ФСТЭК №117

SLA на устранение и требования к мониторингу

Модуль БДУ ФСТЭК

Автоматический мониторинг уязвимостей Docker в SGRC

FAQ

Вопросы об уязвимостях Docker

Не нашли ответ? Напишите нам

Автоматизируйте мониторинг уязвимостей Docker

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.