「Kubernetes Image Builder」に深刻な脆弱性 - 生成VMを侵害されるおそれ
Kubernetesクラスタで使用する仮想マシンイメージの構築ツール「Kubernetes Image Builder」に深刻な脆弱性が判明した。
「同0.1.37」および以前のバージョンで生成された仮想マシンイメージに認証情報がハードコードされる脆弱性「CVE-2024-9486」が明らかとなったもの。
同ツールに含まれる「Proxmox provider」で構築されたVMイメージでは、デフォルトの認証情報が無効化されず、リモートよりroot権限でアクセスされるおそれがあるという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
「Nutanix」「OVA」「QEMU」「raw」についても、イメージのビルドプロセス中にデフォルトの認証情報が有効になる脆弱性「CVE-2024-9594」が判明している。ただし、「CVE-2024-9594」に関してはプロセス終了時に認証情報が無効化されるため、CVSS基本値は「6.3」、重要度は「中(Medium)」と評価されている。
「Kubernetes Image Builder」を最新版にアップデートし、影響を受ける仮想マシンイメージを再構築するよう呼びかけられている。
(Security NEXT - 2024/10/22 )
ツイート
PR
関連記事
Oracleが補完パッチ、5製品35件の脆弱性を修正 - クリティカル11件
ランサムウェア被害が発生、受発注や出荷に影響 - 松沢書店
偽警告被害、ファイル共有サービス利用時に誘導 - 北九州市立大
「PAN-OS」の認証回避脆弱性、詳細公開で悪用懸念高まる
米当局、「Langflow」や「Apex One」の脆弱性悪用に注意喚起
ファイルサーバでランサム被害を確認 - 宝飾用ダイヤモンド関連会社
「LiteSpeed cPanel Plugin」に脆弱性 - すでに悪用も、侵害有無の確認を
住宅相談者の個人情報含む書類が所在不明に - 港区
「Samba」にRCEなど6件の脆弱性 - 修正パッチを公開
「GitLab」にアップデート - 脆弱性7件を修正
