注目github_advisory2分
Fission コンテナ実行機能に権限昇格、ノード脱出の脆弱性(CVSS 9.8)
30秒で把握
- 1Fission Container Executor の PodSpec 検証不足 + マージ処理で privilege/namespace 設定が無条件許可
- 2関数作成権限のみで Deployment 作成権限と同等の効果が得られ、ノード脱出が可能に
- 3本番運用チームは修正版への即座の更新と、関数デプロイ権限の再評価が必要
要約
Fission の Container Executor に PodSpec インジェクション脆弱性が存在し、関数作成権限のみを持つテナントがノード脱出を実行できる。検証ロジックが podspec の内容を確認せず、マージ処理が `hostPID`、`hostNetwork`、`hostIPC`、ホストパスボリューム、特権コンテナ設定を無条件に許可したため、攻撃者は Deployment 作成権限を持たずにホストファイルシステムをマウントして host namespace に共有できる。関数開発者が一般的に保有する `functions.fission.io/create` だけで権限昇格が成立し、環境作成権限を要求する同種脆弱性より攻撃閾値が低い。即座にパッチ適用が必須。
あなたへの影響
この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。
クレカ不要・いつでも解約