Asayomu Tech
注目github_advisory2

Fission コンテナ実行機能に権限昇格、ノード脱出の脆弱性(CVSS 9.8)

30秒で把握

  • 1Fission Container Executor の PodSpec 検証不足 + マージ処理で privilege/namespace 設定が無条件許可
  • 2関数作成権限のみで Deployment 作成権限と同等の効果が得られ、ノード脱出が可能に
  • 3本番運用チームは修正版への即座の更新と、関数デプロイ権限の再評価が必要

要約

Fission の Container Executor に PodSpec インジェクション脆弱性が存在し、関数作成権限のみを持つテナントがノード脱出を実行できる。検証ロジックが podspec の内容を確認せず、マージ処理が `hostPID`、`hostNetwork`、`hostIPC`、ホストパスボリューム、特権コンテナ設定を無条件に許可したため、攻撃者は Deployment 作成権限を持たずにホストファイルシステムをマウントして host namespace に共有できる。関数開発者が一般的に保有する `functions.fission.io/create` だけで権限昇格が成立し、環境作成権限を要求する同種脆弱性より攻撃閾値が低い。即座にパッチ適用が必須。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。