「HashiCorp Vault」に権限昇格の脆弱性 - アップデートが公開
HashiCorpは、「Vault」に権限昇格の脆弱性が明らかになったとして、アップデートをリリースした。
「Vault Community Edition」および「Vault Enterprise Edition」において、rootポリシーのアクセス権限を取得できる権限昇格の脆弱性「CVE-2024-9180」が明らかとなったもの。
root名前空間においてアイデンティティAPIエンドポイントに書き込み権限を持つ場合に、キャッシュされたエンティティレコードを操作することで悪用が可能だという。
操作されたエンティティレコードがクラスター全体に伝播することはなく、root名前空間のみ影響を受けるとしている。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.2」、重要度は4段階中、上から「高(High)」とレーティングされている。
同社では脆弱性を修正した「Vault CE 1.18.0」および「Vault EE 1.18.0」「同1.17.7」「同1.16.11」「同1.15.16」をリリース。影響を受ける利用者に対して早急にアップデートするよう求めている。またアップグレードが難しい場合は、ポリシーを見直すなど緩和策の実施を求めている。
(Security NEXT - 2024/10/15 )
ツイート
PR
関連記事
HPEのライセンス管理製品に認証回避の脆弱性 - 修正版が公開
NVIDIAのネットワークOSに複数の脆弱性 - アップデートが公開
AIエージェント「MS-Agent」にプロンプトインジェクションの脆弱性
ウェブフレームワーク「Qwik」に深刻な脆弱性 - 修正版が公開
JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
メルアカに不正ログイン、フィッシングの踏み台に - じほう
個人情報含む書類を異なる金融機関へ誤送付 - 愛知のケーブルTV局
ブラウザ「MS Edge」にセキュリティ更新 - 脆弱性3件を修正
就職相談会の応募フォームに設定ミス、個人情報を閲覧可能に - 練馬区
システムから個人情報流出の可能性 - JAあきた北ライフサービス
