概要
Docker Engine 29.4.0が2026年4月7日にリリースされた。本リリースはBuildKit v0.29.0やrunc v1.3.5への依存関係更新を主な内容とするが、直前のセキュリティリリース29.3.1で修正された複数の重要な脆弱性修正も含んでいる。29.3.1以前のバージョンを使用している場合、29.4.0へのアップグレードによってこれらすべての修正が適用される。最低Go要件も1.25に引き上げられた。
セキュリティ修正(CVE)
29.xシリーズで修正された主なセキュリティ脆弱性は以下のとおり。
- CVE-2026-34040: AuthZプラグインの認可バイパス脆弱性。特定の条件下でAuthZプラグインによる認可が迂回される可能性があった。
- CVE-2026-33748 / CVE-2026-33747: BuildKitにおけるGit URLフラグメントのバリデーション不備と、信頼されていないフロントエンドによるファイルアクセスの問題。
- CVE-2026-33997:
docker plugin installにおける権限検証の不備により、不正な権限昇格が可能になる脆弱性。 - CVE-2025-61729: ホスト名バリデーションのエラーフォーマット処理において過剰なリソース消費を引き起こすDoS脆弱性。
CVE-2026-34040、CVE-2026-33748、CVE-2026-33747、CVE-2026-33997の修正はcontainerd v2.2.2およびGo 1.25.8へのアップデートとともに29.3.1で提供された。CVE-2025-61729は29.1.2でGo 1.25.5へのアップデートにより修正済みである。
29.4.0の技術的変更点
29.4.0では依存ライブラリの更新と機能改善が中心。BuildKitがv0.29.0に、runcがv1.3.5にそれぞれアップデートされた。機能面ではdocker cpコマンドがコンテンツサイズと転送サイズの両方を報告するようになったほか、Windows環境でDOCKER_TMPDIR環境変数が正しく参照されるようになった。またGo SDKにおいてcli-plugins/hooksの型が非推奨となり名称が変更されている。
バージョン29.xシリーズの背景
Docker Engine 29.0.0は2025年11月にリリースされた大型アップデートで、APIバージョンが1.52に更新された。実験的なnftablesファイアウォールバックエンドの追加、NVIDIA GPU向けのCDIベース処理(29.2.0で追加、AMD GPUのCDI対応は29.3.0で追加)、docker image lsの新しいビュー形式、rootlessモードでのslirp4netns代替としてpasta(passt)へのフォールバックなど多くの機能が追加された。cgroup v1のサポート廃止予告(2029年5月まで継続サポート)やGoモジュールパスの変更(github.com/docker/dockerからgithub.com/moby/mobyへ)といった破壊的変更も含まれており、利用者はアップグレード時に注意が必要だ。