インフラアクセス管理ツール「Teleport」に複数の脆弱性
サーバやクラウドアプリケーションに対する一元的なアクセス認証や監査機能を提供する「Teleport」に複数の脆弱性が明らかとなった。「クリティカル(Critical)」とされる脆弱性も含まれる。
低いアクセス権限を持つ利用者によって、プロキシやエージェント経由で任意のホストに対して「サーバサイドリクエストフォージェリ(SSRF)」を行うことができる脆弱性が判明した。CVE番号は不明でGitHubでは識別子「GHSA-hw4x-mcx5-9q36」が割り当てられている。
また「同14」で導入されたアクセスリストの機能において権限昇格が可能となる脆弱性「GHSA-76cc-p55w-63g3」が明らかとなった。
これら2件の脆弱性については、重要度が4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
さらにクラスター内のノードにアクセスできる場合、「SFTP」による接続が可能となる「GHSA-c9v7-wmwj-vf6x」や、「macOS」のエージェントにおいてユーザーが指定した環境変数によって予期しないコードを実行される「GHSA-vfxf-76hv-v4w4」など、重要度が「高(High)」とされる脆弱性2件についても明らかとなった。
「同14.2.4」「同13.4.13」「同12.4.31」にて脆弱性を修正。これらを反映した「同14.3.0」「同13.4.14」「同12.4.32」が提供されている。
(Security NEXT - 2024/01/05 )
ツイート
PR
関連記事
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
米当局、悪用リストに脆弱性3件を追加 - 最短で5月3日対応期限
小中20校で児童生徒の個人情報を同意なしにPTAへ提供 - 静岡市
サイバーセキュリティ総務大臣奨励賞、個人2名と2団体が受賞
複数Chatworkアカウントが侵害、不正な請求書送信も - 鉄道設備機器メーカー
電子カルテで知人情報を不正取得、漏洩した病院職員を処分 - 青森県
手術室のタブレット端末が所在不明 - 荻窪病院
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
業務用チャットアカウントに不正アクセス - 東京計器
デンソー海外2拠点にサイバー攻撃 - 情報流出の可能性、生産に影響なし
