注目github_advisory2分
Fission、Environment CRD でホストアクセス可能な Pod を任意生成 — ノード乗っ取り脆弱性 (GHSA-gx55-f84r-v3r7)
30秒で把握
- 1Fission v1.23.x 以前、Environment CRD の podspec フィルタリング欠落により、namespace ユーザが hostPID/hostNetwork/privileged Pod を任意生成可能
- 2特権 Pod から nsenter でホスト侵入後、クラウド認証情報やコンテナランタイムソケットへのアクセスを経由してノード乗っ取りおよびクラスタ全体の侵害が可能
- 3v1.24.0 で修正・admission 否定リストと merge レイヤーでの security チェック導入、pod-security.kubernetes.io/enforce ラベルの設定確認が必須
要約
Fission の Environment CRD に podspec フィルタリング機能が欠落し、名前空間ユーザが hostNetwork / hostPID / privileged 設定を含む Pod を任意生成できる脆弱性が判明した。攻撃者は特権 Pod から nsenter でホストに侵入し、メタデータ認証情報やコンテナランタイムソケットにアクセスしてノードを完全に乗っ取り得る。RBAC で environments.fission.io の作成/更新権限を持つユーザが、管理者権限相当にエスカレーション可能だ。修正は v1.24.0 で配信済みで、admission レイヤーの否定リストと merge レイヤーでのチェックを実装した。
あなたへの影響
この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。
クレカ不要・いつでも解約