注目★★★★★GitHub Advisory
Lemur の認可チェック回避、設定未指定で全認証ユーザーが特権操作可能
30秒で把握
- 1Lemur の認可チェック設定がデフォルト無効で、read-only ユーザーが CA 作成・証明書アップロード可能に
- 2Flask-Principal の空 Need 動作により全認証ユーザーが特権操作を実行可能・SSRF 脆弱性の入口に
- 3修正版への即座のアップデートと設定フラグの明示的有効化、過去ログ監査が必須
要約
Lemur の `StrictRolePermission` と `AuthorityCreatorPermission` が設定フラグ未指定時に空の認可要件で初期化されるため、認可チェックが常に成功する脆弱性が報告された。Flask-Principal ライブラリの仕様によって、空の Need 集合では全認証ユーザーに対して `Permission.allows()` が True を返すため、最低権限の read-only ユーザーでも CA 作成、通知編集 (SSRF 脆弱性)、証明書アップロードなどの特権操作が可能になる。両フラグはデフォルト False なため、明示的にオプトインしていないすべての Lemur インストールが影響を受けた。修正版では設定フラグ未指定時のデフォルト動作を変更し、適切な認可要件を必須化した。
あなたへの影響
この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。
クレカ不要・いつでも解約