CVE-2025-68121 กับ Docker: ช่องโหว่ร้ายแรงที่ควรรู้และแก้ไขด่วน

** บริษัทหรือบุคคลใดใช้งานอยู่ กรุณาอ่านบทความนี้ ด่วนครับ **

จากข่าวบนเว็บไซต์ล่าสุดของ Portainer 

https://www.portainer.io/blog/cve-2025-68121

สรุปเนื้อหาสำคัญเป็นภาษาไทยได้ดังนี้ครับ:

1. สรุปปัญหา (The Vulnerability)

• CVE-2025-68121 เป็นช่องโหว่ความรุนแรงระดับ Critical (CVSS 10.0)
• ต้นเหตุของปัญหา ไม่ใช่บั๊กในตัว Docker เอง แต่เป็นช่องโหว่ใน Go standard library (crypto/tls) ซึ่งเป็นภาษาที่ใช้เขียน Docker Engine
• ลักษณะการโจมตี: เกี่ยวข้องกับการตรวจสอบใบรับรอง (Certificate validation) ในกระบวนการ TLS session resumption หากมีการแก้ไขค่าคอนฟิกของ TLS ระหว่างการเชื่อมต่อ อาจทำให้ผู้โจมตีข้ามขั้นตอนการตรวจสอบใบรับรองและเข้าถึงระบบได้

2. ผลกระทบ (Impact)

• Docker Engine เกือบทุกเวอร์ชันได้รับผลกระทบ: เนื่องจากใช้ Go เวอร์ชันที่มีช่องโหว่ในการคอมไพล์ (Compile)
• เวอร์ชันที่ปลอดภัย: คือ Docker Engine 29.3.0 ขึ้นไป (ออกเมื่อมีนาคม 2026) ซึ่งใช้ Go เวอร์ชันที่ได้รับการแก้ไขแล้ว (go1.24.13 หรือสูงกว่า)
• หากคุณใช้ Docker Engine ตระกูล 28.x หรือ 29.x ที่ต่ำกว่า 29.3.0 ระบบของคุณจะยังคงมีความเสี่ยง

3. คำแนะนำในการจัดการ

1. ตรวจสอบเวอร์ชัน Go: ใช้คำสั่งด้านล่างเพื่อดูว่า Docker ของคุณใช้ Go เวอร์ชันไหน: docker version --format '{{.Server.GoVersion}}'
   • หากต่ำกว่า go1.24.13 หรืออยู่ระหว่าง go1.25.0 ถึง go1.25.6 แสดงว่ามีความเสี่ยง
2. อัปเดต Docker Engine: แนะนำให้อัปเกรดเป็น v29.3.0 ทันทีที่มีการปล่อยออกมาสำหรับ OS ที่คุณใช้
3. ข้อควรระวังสำหรับผู้ใช้ Docker Swarm: * การอัปเกรดเป็น v29 อาจมีประเด็นเรื่องความเข้ากันได้กับ Volume Plugin รุ่นเก่า (V1) ซึ่งอาจทำให้เข้าถึงข้อมูลใน Storage ไม่ได้
   • หากใช้ Overlay Network แบบเข้ารหัส (Encrypted overlay) ควรวางแผนอัปเกรดทุก Node ใน Cluster พร้อมกัน เพื่อป้องกันปัญหาการรับส่งข้อมูลในวงเครือข่าย

สรุปมุมมองจาก Portainer

แม้คะแนนความรุนแรงจะสูงถึง 10.0 แต่ในทางปฏิบัติการโจมตีทำได้ค่อนข้างยาก (เพราะผู้โจมตีต้องมีใบรับรองที่เคยใช้งานได้มาก่อน) อย่างไรก็ตาม ในแง่ของความปลอดภัยและการปฏิบัติตามมาตรฐาน (Compliance) การอัปเกรดเป็น Docker Engine 29.3.0 คือทางออกที่ดีที่สุดครับ