Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Red Hatの「OpenShift」に権限昇格など複数の脆弱性

Red Hatが提供する「OpenShift」に2件の脆弱性が明らかとなった。同社では緩和策をアナウンスしている。

リソース管理などの機能を提供する「OpenShift Controller Manager」では、権限管理の不備による脆弱性「CVE-2024-45496」が判明した。

ビルドの初期化において権限の昇格が可能としており、開発者レベルのアクセス権を持つ場合、細工された「gitconfigファイル」を用いることで任意のコマンドを実行でき、ノードに対して無制限にアクセスすることが可能になるという。

またコンポーネント「OpenShift Builder」では、コマンドインジェクションにより任意のコードが実行可能となるパストラバーサルの脆弱性「CVE-2024-7387」が判明している。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは、「CVE-2024-45496」が「9.9」、「CVE-2024-7387」が「9.1」と評価されている。Red Hatでは4段階の重要度においてともに上から2番目にあたる「重要(Important)」とした。

Red Hatでは、今後修正プログラムをリリースする可能性があるとしており、それぞれの脆弱性に対して緩和策を示している。

(Security NEXT - 2024/09/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

ウェブ狙う攻撃の痕跡を検出するログ解析サービス - ビットフォレスト
個人情報含むタブレット端末が車両ごと盗難 - 稲敷市
別人の児童扶養手当証書を誤送付 - 延岡市
サーバがランサム被害、影響など調査 - ライク子会社
「Cisco NDFC」に深刻な脆弱性 - 管理下の機器でコマンド実行のおそれ
V音楽フェスの関連アカウントが乗っ取り被害 - JVCケンウッド
図書館の新システム構築中にランサム被害、移行延期 - 斑鳩町
元教授が患者情報を不正持出、開院案内などに利用 - 広大病院
債権残高を14年間にわたり誤登録、与信に影響した可能性 - クレディセゾン
コラボツール「Zimbra」に深刻な脆弱性 - すでに実証コードも