サーバレス環境を提供する「Apache OpenWhisk」に脆弱性
サーバレス環境を提供する「Apache OpenWhisk」において、特定環境下でソースコードを上書きされ、実行されるおそれがある脆弱性が明らかとなった。
PureSecの研究者が2件の脆弱性「CVE-2018-11756」「CVE-2018-11757」について報告したもの。6月5日に「Apache OpenWhisk」の開発チームへ報告済みで、修正するコードが公開されている。
脆弱性を悪用することでリモートよりコンテナ内で実行する「action」のソースコードを上書きすることが可能で、同じコンテナ内で実行する環境に影響を及ぼし、情報漏洩や、異なるユーザーにおいて細工されたコードが実行される可能性があるという。
「Apache OpenWhisk」は、もともと「IBM Bluemix OpenWhisk」としてスタートしたオープンソースのプロジェクト。現在は、Apache管理下のプロジェクトとなっており、「IBM Cloud Functions」で採用されている。
(Security NEXT - 2018/07/25 )
ツイート
PR
関連記事
「Citrix Bleed 2」への懸念広がる - 提供元は「悪用未確認」強調
メッセージ保護アプリ「TM SGNL」の複数脆弱性、悪用リストに追加
「NetScaler ADC」脆弱性、パッチ公開前から攻撃発生
「NetScaler ADC/Gateway」にゼロデイ脆弱性 - 早急に更新を
「Chrome」にゼロデイ脆弱性、アップデート公開 - 軽減策の実施も
特権コマンド実行ツール「sudo」に重要度「クリティカル」の脆弱性
「IBM WebSphere Application Server」にRCE脆弱性 - 暫定パッチ公開
「MS Edge」にアップデート - 固有の脆弱性などにも対処
Salesforceのローコード開発ツールに脆弱性 - 設定リスクの指摘も
構成管理ツール「Salt」に複数脆弱性 - 「クリティカル」も