Red Hatの「OpenShift」に権限昇格など複数の脆弱性

Red Hatが提供する「OpenShift」に2件の脆弱性が明らかとなった。同社では緩和策をアナウンスしている。

リソース管理などの機能を提供する「OpenShift Controller Manager」では、権限管理の不備による脆弱性「CVE-2024-45496」が判明した。

ビルドの初期化において権限の昇格が可能としており、開発者レベルのアクセス権を持つ場合、細工された「gitconfigファイル」を用いることで任意のコマンドを実行でき、ノードに対して無制限にアクセスすることが可能になるという。

またコンポーネント「OpenShift Builder」では、コマンドインジェクションにより任意のコードが実行可能となるパストラバーサルの脆弱性「CVE-2024-7387」が判明している。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは、「CVE-2024-45496」が「9.9」、「CVE-2024-7387」が「9.1」と評価されている。Red Hatでは4段階の重要度においてともに上から2番目にあたる「重要（Important）」とした。

Red Hatでは、今後修正プログラムをリリースする可能性があるとしており、それぞれの脆弱性に対して緩和策を示している。

（Security NEXT - 2024/09/18 ）ツイート