प्लेटफ़ॉर्म
go
घटक
github.com/openshift/openshift-controller-manager
में ठीक किया गया
4.18.1
0.0.0-alpha.0.0.20240911
OpenShift Container Platform में एक गंभीर भेद्यता पाई गई है। यह भेद्यता बिल्ड प्रक्रिया में विशेषाधिकारों के दुरुपयोग के कारण उत्पन्न होती है, जिससे हमलावर को नोड पर मनमाना कोड चलाने की अनुमति मिलती है। प्रभावित संस्करणों में OpenShift Container Platform के सभी संस्करण शामिल हैं। इस समस्या को हल करने के लिए, 0.0.0-alpha.0.0.20240911 पर अपग्रेड करने की सलाह दी जाती है।
यह भेद्यता हमलावरों के लिए OpenShift क्लस्टर के भीतर महत्वपूर्ण क्षति पहुंचाने का मार्ग खोलती है। एक हमलावर, जो डेवलपर-स्तरीय पहुंच रखता है, एक दुर्भावनापूर्ण .gitconfig फ़ाइल प्रदान कर सकता है, जिसमें ऐसे कमांड शामिल हैं जो क्लोनिंग प्रक्रिया के दौरान निष्पादित होते हैं। इससे हमलावर को नोड पर मनमाना कोड चलाने की क्षमता मिलती है, जिससे वे संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, सिस्टम कॉन्फ़िगरेशन को बदल सकते हैं, या यहां तक कि पूरे क्लस्टर को नियंत्रित कर सकते हैं। यह भेद्यता Log4Shell जैसे पिछले शोषणों के समान है, जहां एक साधारण कॉन्फ़िगरेशन त्रुटि ने व्यापक क्षति का कारण बना।
यह भेद्यता अभी तक KEV (CISA Known Exploited Vulnerabilities) में शामिल नहीं की गई है, लेकिन EPSS (Exploit Prediction Score System) स्कोर इसकी गंभीरता को देखते हुए मध्यम से उच्च होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जाना तय है। यह भेद्यता 2024-09-17 को प्रकाशित की गई थी।
Organizations deploying OpenShift Container Platform, particularly those with developer access granted to external contributors or automated build pipelines, are at significant risk. Environments utilizing custom build configurations or integrating external repositories should be prioritized for remediation.
• linux / server:
journalctl -u openshift-controller-manager -g 'git-clone' | grep -i error• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*openshift*'} | Format-List TaskName, Actions• generic web:
curl -I <openshift_build_endpoint>disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.13% (33% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, OpenShift Container Platform को तुरंत 0.0.0-alpha.0.0.20240911 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड करना तत्काल संभव नहीं है, तो बिल्ड प्रक्रिया में git-clone कंटेनर के लिए विशेषाधिकार सुरक्षा संदर्भ को सीमित करने पर विचार करें। WAF (वेब एप्लीकेशन फ़ायरवॉल) का उपयोग करके दुर्भावनापूर्ण .gitconfig फ़ाइलों को ब्लॉक करने के लिए नियम कॉन्फ़िगर करें। इसके अतिरिक्त, नियमित रूप से सिस्टम लॉग की निगरानी करें और असामान्य गतिविधि के संकेतों की तलाश करें। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, यह सुनिश्चित करने के लिए कि git-clone कंटेनर अब विशेषाधिकारों के साथ नहीं चल रहा है।
OpenShift Container Platform को एक ठीक किए गए संस्करण में अपडेट करें। अधिक विवरण और अपडेट निर्देशों के लिए Red Hat सुरक्षा सलाह (RHSA) RHSA-2024:3718, RHSA-2024:6685 और RHSA-2024:6687 देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-45496 OpenShift Container Platform के बिल्ड प्रक्रिया में विशेषाधिकारों के दुरुपयोग के कारण हमलावरों को मनमाना कोड चलाने की अनुमति देने वाली एक गंभीर भेद्यता है।
यदि आप OpenShift Container Platform के किसी भी संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं। 0.0.0-alpha.0.0.20240911 या बाद के संस्करण में अपग्रेड करें।
OpenShift Container Platform को 0.0.0-alpha.0.0.20240911 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो बिल्ड प्रक्रिया में git-clone कंटेनर के लिए विशेषाधिकार सुरक्षा संदर्भ को सीमित करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण किया जाना तय है।
OpenShift सलाहकार के लिए, कृपया Red Hat की सुरक्षा सलाहिका देखें: [https://access.redhat.com/security/cve/CVE-2024-45496](https://access.redhat.com/security/cve/CVE-2024-45496)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।