** บริษัทหรือบุคคลใดใช้งานอยู่ กรุณาอ่านบทความนี้ ด่วนครับ **
จากข่าวบนเว็บไซต์ล่าสุดของ Portainer
https://www.portainer.io/blog/cve-2025-68121
สรุปเนื้อหาสำคัญเป็นภาษาไทยได้ดังนี้ครับ:
1. สรุปปัญหา (The Vulnerability)
- CVE-2025-68121 เป็นช่องโหว่ความรุนแรงระดับ Critical (CVSS 10.0)
- ต้นเหตุของปัญหา ไม่ใช่บั๊กในตัว Docker เอง แต่เป็นช่องโหว่ใน Go standard library (crypto/tls) ซึ่งเป็นภาษาที่ใช้เขียน Docker Engine
- ลักษณะการโจมตี: เกี่ยวข้องกับการตรวจสอบใบรับรอง (Certificate validation) ในกระบวนการ TLS session resumption หากมีการแก้ไขค่าคอนฟิกของ TLS ระหว่างการเชื่อมต่อ อาจทำให้ผู้โจมตีข้ามขั้นตอนการตรวจสอบใบรับรองและเข้าถึงระบบได้
2. ผลกระทบ (Impact)
- Docker Engine เกือบทุกเวอร์ชันได้รับผลกระทบ: เนื่องจากใช้ Go เวอร์ชันที่มีช่องโหว่ในการคอมไพล์ (Compile)
- เวอร์ชันที่ปลอดภัย: คือ Docker Engine 29.3.0 ขึ้นไป (ออกเมื่อมีนาคม 2026) ซึ่งใช้ Go เวอร์ชันที่ได้รับการแก้ไขแล้ว (go1.24.13 หรือสูงกว่า)
- หากคุณใช้ Docker Engine ตระกูล 28.x หรือ 29.x ที่ต่ำกว่า 29.3.0 ระบบของคุณจะยังคงมีความเสี่ยง
3. คำแนะนำในการจัดการ
- ตรวจสอบเวอร์ชัน Go: ใช้คำสั่งด้านล่างเพื่อดูว่า Docker ของคุณใช้ Go เวอร์ชันไหน:
docker version --format '{{.Server.GoVersion}}'
- หากต่ำกว่า go1.24.13 หรืออยู่ระหว่าง go1.25.0 ถึง go1.25.6 แสดงว่ามีความเสี่ยง
- อัปเดต Docker Engine: แนะนำให้อัปเกรดเป็น v29.3.0 ทันทีที่มีการปล่อยออกมาสำหรับ OS ที่คุณใช้
- ข้อควรระวังสำหรับผู้ใช้ Docker Swarm: * การอัปเกรดเป็น v29 อาจมีประเด็นเรื่องความเข้ากันได้กับ Volume Plugin รุ่นเก่า (V1) ซึ่งอาจทำให้เข้าถึงข้อมูลใน Storage ไม่ได้
- หากใช้ Overlay Network แบบเข้ารหัส (Encrypted overlay) ควรวางแผนอัปเกรดทุก Node ใน Cluster พร้อมกัน เพื่อป้องกันปัญหาการรับส่งข้อมูลในวงเครือข่าย
สรุปมุมมองจาก Portainer
แม้คะแนนความรุนแรงจะสูงถึง 10.0 แต่ในทางปฏิบัติการโจมตีทำได้ค่อนข้างยาก (เพราะผู้โจมตีต้องมีใบรับรองที่เคยใช้งานได้มาก่อน) อย่างไรก็ตาม ในแง่ของความปลอดภัยและการปฏิบัติตามมาตรฐาน (Compliance) การอัปเกรดเป็น Docker Engine 29.3.0 คือทางออกที่ดีที่สุดครับ
