Asayomu Tech
注目github_advisory2

Fission、Environment CRD でホストアクセス可能な Pod を任意生成 — ノード乗っ取り脆弱性 (GHSA-gx55-f84r-v3r7)

30秒で把握

  • 1Fission v1.23.x 以前、Environment CRD の podspec フィルタリング欠落により、namespace ユーザが hostPID/hostNetwork/privileged Pod を任意生成可能
  • 2特権 Pod から nsenter でホスト侵入後、クラウド認証情報やコンテナランタイムソケットへのアクセスを経由してノード乗っ取りおよびクラスタ全体の侵害が可能
  • 3v1.24.0 で修正・admission 否定リストと merge レイヤーでの security チェック導入、pod-security.kubernetes.io/enforce ラベルの設定確認が必須

要約

Fission の Environment CRD に podspec フィルタリング機能が欠落し、名前空間ユーザが hostNetwork / hostPID / privileged 設定を含む Pod を任意生成できる脆弱性が判明した。攻撃者は特権 Pod から nsenter でホストに侵入し、メタデータ認証情報やコンテナランタイムソケットにアクセスしてノードを完全に乗っ取り得る。RBAC で environments.fission.io の作成/更新権限を持つユーザが、管理者権限相当にエスカレーション可能だ。修正は v1.24.0 で配信済みで、admission レイヤーの否定リストと merge レイヤーでのチェックを実装した。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。