Wie Docker gehärtete Images innerhalb von 24 Stunden Schwachstellen behebt

TL;DR

Docker hat innerhalb von 24 Stunden nach der Veröffentlichung von zwei Sicherheitsanfälligkeiten im Golang-Paket golang.org/x/crypto/ssh gepatchte Versionen bereitgestellt. Dies wurde durch die kontinuierliche Überwachung und automatisierte Remediation-Pipeline von Docker Scout ermöglicht, die eine sofortige Bewertung und Reaktion auf Sicherheitsvorfälle gewährleistet.

Hauptinhalt

Am 19. November 2025 wurden zwei Sicherheitsanfälligkeiten (CVEs) im weit verbreiteten Golang-Paket golang.org/x/crypto/ssh veröffentlicht. Obwohl diese Schwachstellen keine kritischen CVSS-Werte erhielten, stellten sie ein Risiko für Anwendungen dar, die SSH-Funktionalitäten in Go-basierten Containern nutzen. Die erste Schwachstelle, CVE-2025-58181, betrifft SSH-Server, die GSSAPI-Authentifizierungsanfragen verarbeiten. Hierbei kann es zu unkontrolliertem Speicherverbrauch kommen, wenn die Anzahl der angegebenen Mechanismen nicht validiert wird. Die zweite Schwachstelle, CVE-2025-47914, betrifft SSH-Agent-Server, die bei der Verarbeitung von Identitätsanfragen die Nachrichtengrößen nicht validieren, was potenziell zu Systemabstürzen führen kann.

Für Teams, die Go-Anwendungen mit SSH-Funktionalität in Containern betreiben, ist es entscheidend, diese Schwachstellen zeitnah zu beheben, um Denial-of-Service-Angriffe und potenzielle Systeminstabilitäten zu vermeiden.

Docker reagierte schnell auf diese Sicherheitsanfälligkeiten, indem die Kunden von Docker Hardened Images (DHI) innerhalb von weniger als 24 Stunden gepatchte Versionen zur Verfügung gestellt bekamen. Diese schnelle Reaktion ist das Ergebnis der kontinuierlichen Überwachungsarchitektur von Docker Scout und der automatisierten Remediation-Pipeline von DHI.

Der Prozess beginnt mit der kontinuierlichen Erfassung von CVE-Daten aus verschiedenen Quellen, einschließlich GitHub-Sicherheitswarnungen und der National Vulnerability Database. Sobald CVE-Daten verfügbar sind, analysiert Docker Scout diese umgehend. Innerhalb von Sekunden wird festgestellt, welche Docker Hardened Images betroffen sind, was einen sofortigen Beginn des Remediation-Prozesses ermöglicht.

Je nach Art der Schwachstelle und des betroffenen Pakets erfolgt die Patching entweder automatisch oder es wird ein manueller Überprüfungsprozess für komplexe Änderungen angestoßen. Bei den Schwachstellen im Golang-Paket wurden sofort nach Verfügbarkeit der upstream-Patches Builds initiiert. Nach erfolgreichem Build des gepatchten Golang-Pakets werden automatisch alle abhängigen Pakete und Images neu gebaut. Dieser gesamte Prozess, von der Bekanntgabe der CVE bis zur Bereitstellung der gepatchten Images für die Kunden, wurde in weniger als 24 Stunden abgeschlossen.

Technische Details/Implikationen

Ein wesentliches Unterscheidungsmerkmal von Docker ist die kontinuierliche, in Echtzeit stattfindende Überwachung, im Gegensatz zu herkömmlichen, zeitlich festgelegten Scans, die Container über Stunden oder Tage anfällig für bekannte Schwachstellen lassen. Docker Scout ermöglicht eine sofortige Erkennung von Sicherheitsanfälligkeiten, sodass die Remediation innerhalb von Sekunden erfolgen kann.

Die kontinuierliche Überwachung bildet die Grundlage für Docker Hardened Images, bei denen Pakete und Abhängigkeiten fortlaufend verfolgt und automatisch aktualisiert werden, wenn Probleme auftreten. Dies reduziert den Aufwand für manuelle Patches und Notfallwartungen erheblich.

Zusätzlich zu den automatisierten Prozessen bietet Docker auch KI-gestützte Schutzmaßnahmen, die speziell für die Pipeline der Hardened Images entwickelt wurden. Diese Systeme analysieren kontinuierlich Änderungen im Quellcode, kennzeichnen risikobehaftete Muster und verhindern, dass fehlerhafte Abhängigkeiten in die Lieferkette gelangen.

Fazit/Ausblick

Die schnelle Reaktion von Docker auf Sicherheitsanfälligkeiten unterstreicht die Bedeutung von kontinuierlicher Überwachung und automatisierter Remediation in modernen DevOps -Umgebungen. Mit diesen Ansätzen können Unternehmen ihre Container sicherer betreiben und die Risiken von Sicherheitsvorfällen erheblich minimieren.