Red Hatの「OpenShift」に権限昇格など複数の脆弱性
Red Hatが提供する「OpenShift」に2件の脆弱性が明らかとなった。同社では緩和策をアナウンスしている。
リソース管理などの機能を提供する「OpenShift Controller Manager」では、権限管理の不備による脆弱性「CVE-2024-45496」が判明した。
ビルドの初期化において権限の昇格が可能としており、開発者レベルのアクセス権を持つ場合、細工された「gitconfigファイル」を用いることで任意のコマンドを実行でき、ノードに対して無制限にアクセスすることが可能になるという。
またコンポーネント「OpenShift Builder」では、コマンドインジェクションにより任意のコードが実行可能となるパストラバーサルの脆弱性「CVE-2024-7387」が判明している。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは、「CVE-2024-45496」が「9.9」、「CVE-2024-7387」が「9.1」と評価されている。Red Hatでは4段階の重要度においてともに上から2番目にあたる「重要(Important)」とした。
Red Hatでは、今後修正プログラムをリリースする可能性があるとしており、それぞれの脆弱性に対して緩和策を示している。
(Security NEXT - 2024/09/18 )
ツイート
PR
関連記事
国立医薬品食品衛生研究所でフィッシング被害 - さらなる攻撃の踏み台に
広く利用されるVSCode拡張機能「Live Server」に脆弱性 - 未修正状態続く
OpenText製品向けID統合基盤「OTDS」に脆弱性 - 修正版を公開
米当局、「Dell RP4VMs」や「GitLab」の脆弱性悪用に注意喚起
「Chrome」にセキュリティアップデート - 今月4度目の脆弱性対応
米国拠点でメルアカに不正アクセス - アダルトグッズメーカー
サイトが改ざん被害、無関係ページで不自然なアクセス増 - 藤田鍍金
理工学部でSSD紛失、内部に調査で取得した個人情報 - 慶大
JALシステム障害、原因はデータ誤消去 - 発覚おそれログ改ざん
DellのVM環境向け復旧製品にゼロデイ脆弱性 - 悪用報告も
