Asayomu Tech
注目★★★★GitHub Advisory

Rancher に特権昇格脆弱性、プロジェクト所有者がホストアクセス可能に

30秒で把握

  • 1Rancher Manager のプロジェクト所有者が Pod Security Admission 変更・特権昇格が可能
  • 2デフォルト設定でクラスタメンバーがプロジェクト所有権取得後、特権コンテナデプロイ・ホストアクセス可能に
  • 3マルチテナント環境では RBAC ポリシー見直し・PSA 設定監視を即実施

要約

Rancher Manager にて、プロジェクト所有者 (Project Owner) がポッド・セキュリティ・アドミッション (PSA) ラベルを変更できる特権昇格脆弱性が発見された。デフォルト設定下でクラスタメンバーアクセスを持つユーザーがプロジェクト所有権を取得し、名前空間内の PSA を特権プロファイルに変更することで、特権コンテナをデプロイ可能になる。これにより Kubernetes セキュリティ保護が無効化され、コンテナ境界を越えたエスケープやホストレベルリソースへのアクセス、クラスター内での権限昇格が発生する可能性がある。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

関連する記事

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。