Plateforme
go
Composant
github.com/openshift/openshift-controller-manager
Corrigé dans
4.18.1
0.0.0-alpha.0.0.20240911
Une vulnérabilité critique a été découverte dans OpenShift Container Platform, affectant la gestion des privilèges lors du processus de construction. Cette faille permet l'exécution arbitraire de code en raison d'un accès non restreint au nœud par un conteneur git-clone privilégié. Les versions concernées sont celles antérieures à 0.0.0-alpha.0.0.20240911. Une mise à jour vers la version corrigée est disponible.
L'impact de cette vulnérabilité est extrêmement élevé. Un attaquant disposant d'un accès de développeur peut injecter une configuration .gitconfig malveillante. Cette configuration, exécutée lors de la phase de clonage de Git, permet à l'attaquant d'exécuter des commandes arbitraires sur le nœud worker. Cela peut conduire à la compromission complète du nœud, permettant l'accès aux données sensibles, l'installation de logiciels malveillants, et potentiellement, une propagation latérale vers d'autres systèmes au sein du cluster OpenShift. La nature privilégiée du conteneur amplifie considérablement le risque, car elle contourne les mécanismes de sécurité standard.
Cette vulnérabilité a été rendue publique le 17 septembre 2024. Son score CVSS de 9.9 indique une criticité élevée. Bien qu'il n'y ait pas de Proof-of-Concept (PoC) public connu à ce jour, la facilité d'exploitation potentielle, combinée à la criticité de la vulnérabilité, la rend susceptible d'être rapidement exploitée. Il est conseillé de surveiller les canaux de renseignement sur les menaces pour détecter toute activité malveillante. L'ajout à la liste KEV de CISA est à suivre.
Organizations deploying OpenShift Container Platform, particularly those with developer access granted to external contributors or automated build pipelines, are at significant risk. Environments utilizing custom build configurations or integrating external repositories should be prioritized for remediation.
• linux / server:
journalctl -u openshift-controller-manager -g 'git-clone' | grep -i error• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*openshift*'} | Format-List TaskName, Actions• generic web:
curl -I <openshift_build_endpoint>disclosure
patch
Statut de l'Exploit
EPSS
0.13% (percentile 33%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenShift Container Platform vers la version 0.0.0-alpha.0.0.20240911 ou ultérieure. En attendant la mise à jour, il est fortement recommandé de restreindre l'accès au processus de construction aux utilisateurs de confiance. Si la mise à jour est problématique, envisagez de revenir à une version précédente stable et d'appliquer des mesures de sécurité renforcées, telles que la surveillance accrue des activités du conteneur git-clone. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance attentive des commandes exécutées pendant le processus de construction est essentielle.
Mettez à jour OpenShift Container Platform vers une version corrigée. Consultez les avis de sécurité Red Hat (RHSA) RHSA-2024:3718, RHSA-2024:6685 et RHSA-2024:6687 pour plus de détails et des instructions de mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-45496 is a critical Remote Code Execution vulnerability in OpenShift Container Platform, allowing attackers to execute arbitrary commands on worker nodes through a crafted .gitconfig file.
You are affected if you are running OpenShift Container Platform versions prior to 0.0.0-alpha.0.0.20240911 and have developer-level access to the build process.
Upgrade to OpenShift Container Platform version 0.0.0-alpha.0.0.20240911 or later. Restrict build process access and validate configuration files.
While active exploitation is not yet confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of exploitation attempts.
Refer to the official OpenShift security advisory for detailed information and mitigation guidance: [https://security.openshift.io/](https://security.openshift.io/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.