Red Hatの「OpenShift」に権限昇格など複数の脆弱性
Red Hatが提供する「OpenShift」に2件の脆弱性が明らかとなった。同社では緩和策をアナウンスしている。
リソース管理などの機能を提供する「OpenShift Controller Manager」では、権限管理の不備による脆弱性「CVE-2024-45496」が判明した。
ビルドの初期化において権限の昇格が可能としており、開発者レベルのアクセス権を持つ場合、細工された「gitconfigファイル」を用いることで任意のコマンドを実行でき、ノードに対して無制限にアクセスすることが可能になるという。
またコンポーネント「OpenShift Builder」では、コマンドインジェクションにより任意のコードが実行可能となるパストラバーサルの脆弱性「CVE-2024-7387」が判明している。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは、「CVE-2024-45496」が「9.9」、「CVE-2024-7387」が「9.1」と評価されている。Red Hatでは4段階の重要度においてともに上から2番目にあたる「重要(Important)」とした。
Red Hatでは、今後修正プログラムをリリースする可能性があるとしており、それぞれの脆弱性に対して緩和策を示している。
(Security NEXT - 2024/09/18 )
ツイート
PR
関連記事
廃棄PCや内蔵SSDが所在不明、内部に個人情報 - JR仙台病院
複数企業向けの同報メールで誤送信、件名にメアド - 佐賀県
再々委託先で記録媒体が所在不明、顧客情報含む可能性 - みずほ銀
ゼロデイ攻撃による「Cisco SD-WAN」侵害を確認 - 米当局が緊急指令
UIライブラリ「Swiper」に深刻な脆弱性 - 利用アプリは注意
ウェブメール「Roundcube」の脆弱性2件が攻撃の標的に
フィッシングサイトの撲滅競技 - 2週間で2828件をテイクダウン
第三者がファイル共有サーバにアクセス、情報流出の可能性 - 道路工業
元従業員が社外秘メールを社外関係者へ無断転送 - 日販グループHD
オブジェクトストレージ「RustFS」にXSS脆弱性 - 乗っ取りのおそれも
