プラットフォーム
ruby
コンポーネント
paratrooper-newrelic
修正版
1.0.2
CVE-2014-1234は、Rubyのparatrooper-newrelic gemにおいて発見されたクロスサイトスクリプティング(XSS)の脆弱性です。この脆弱性により、ローカルユーザーはcurlプロセスをリストすることで、機密性の高いX-Api-Key値を取得することが可能です。影響を受けるバージョンは1.0.1以下であり、最新バージョンへのアップデートによってこの問題は解決されています。
この脆弱性を悪用されると、攻撃者はparatrooper-newrelic gemが使用されているRubyアプリケーションのX-Api-Key値を取得できます。このキーは、New Relic APIへのアクセスに使用される可能性があり、攻撃者はこれを利用してNew Relicのデータを不正に取得したり、設定を変更したりする可能性があります。特に、このキーが他のシステムで再利用されている場合、攻撃の影響範囲はさらに拡大する可能性があります。この脆弱性は、ローカルアクセスが必要であるため、リモートからの直接的な攻撃は困難ですが、権限昇格されたローカルユーザーによる攻撃のリスクがあります。
この脆弱性は、2017年10月24日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、X-Api-Keyの漏洩は、New Relicのデータを不正に取得する可能性があり、注意が必要です。この脆弱性は、CISA KEVカタログには登録されていません。
エクスプロイト状況
EPSS
0.21% (43% パーセンタイル)
この脆弱性への最も効果的な対策は、paratrooper-newrelic gemを最新バージョンにアップデートすることです。アップデートが利用できない場合は、curlプロセスをリストするような攻撃を防ぐために、アクセス制御の強化や、プロセス監視の導入を検討してください。また、X-Api-Keyの取り扱いについても見直しを行い、不要な権限を与えないように設定することが重要です。アップデート後、New Relic APIへのアクセスが正常に行えるか確認し、意図しない変更がないか確認してください。
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2014-1234は、Rubyのparatrooper-newrelic gemのバージョン1.0.1以下において、ローカルユーザーがcurlプロセスをリストすることでX-Api-Key値を取得できる脆弱性です。
paratrooper-newrelic gemのバージョンが1.0.1以下を使用している場合は、影響を受けます。最新バージョンにアップデートしてください。
paratrooper-newrelic gemを最新バージョンにアップデートすることで修正できます。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。
New Relicのセキュリティアドバイザリを参照してください: [https://docs.newrelic.com/docs/security/security-advisories](https://docs.newrelic.com/docs/security/security-advisories)
Gemfile.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。