Naslovnica
»
Sigurnosne objave » Kritične ranjivost u Openshift kontejnerizacijskoj platformi Red Hat sustava
Kritične ranjivost u Openshift kontejnerizacijskoj platformi Red Hat sustava
Dana 16. rujna 2024., otkrivene su dvije ranjivosti (CVE-2024-45496 i CVE-2024-7387) u Red Hat sustavima koje omogućuju napadačima eskalaciju privilegija ili izvršavanje proizvoljnog kôda, što ugrožava integritet sustava.
Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
- Ranjivost CVE-2024-45496 (CVSS ocjena 9.9) proizlazi iz nepravilne upotrebe povišenih privilegija tijekom build procesa. Kontejner git-clone se pokreće s privilegiranim pristupom, što omogućuje napadačima s developer razinom ovlasti iskorištavanje posebno kreirane .gitconfig datoteke te osigurava izvršavanje proizvoljnog kôda na radnom čvoru. Napadač unutar privilegiranog kontejnera može eskalirati privilegije na čvoru, čime stječe neovlaštenu kontrolu.
- Ranjivost CVE-2024-7387 (CVSS ocjena 9.1) omogućuje umetanje naredbi putem ranjivosti pristupanja putanjom (engl. path traversal). Iskorištavanjem atributa spec.source.secrets.secret.destinationDir u definiciji BuildConfig, zlonamjerni korisnik može prebrisati izvršne datoteke unutar privilegiranog build kontejnera kada se koristi "Docker" strategija. Ovo dovodi do mogućnosti izvršavanja proizvoljnih naredbi na OpenShift čvoru koji hosta builder kontejner. Napadač bi mogao iskoristiti ovu ranjivost za eskalaciju privilegija na čvoru, dobivajući neovlašteni pristup i kontrolu.
Zahvaćeni proizvodi:
- CVE-2024-45496: Red Hat OpenShift Container Platform 4 - ose-openshift-controller-manager-container
- CVE-2024-7387: Red Hat OpenShift Container Platform 4 - openshift4/ose-docker-builder
Preporuke:
U trenutku pisanja obavijesti nije dostupna specifična zakrpa, ali administratorima se preporučuje slijediti upute blokiranja korištenje "Docker" build strategije na klasteru ili ograničavanje njene upotrebe samo za visoko povjerljive korisnike, sve dok klaster ne bude nadograđen.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://access.redhat.com/security/cve/CVE-2024-45496
- https://access.redhat.com/security/cve/CVE-2024-7387
- https://docs.openshift.com/container-platform/4.16/cicd/builds/securing-builds-by-strategy.html
[inicijalna objava: 19.9.2024 - 09:20]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima