Phusion Passenger 4.0.37以前のバージョンには、シンボリックリンク攻撃を悪用されることで、ローカルユーザが特定のファイルやディレクトリに書き込める脆弱性(CVE-2014-1832)が存在します。この脆弱性は、CVE-2014-1831の修正が不完全であったことが原因です。影響を受けるバージョンは4.0.37以下であり、4.0.38で修正されています。
この脆弱性を悪用されると、ローカルユーザはcontrol_process.pidファイルやgeneration-*ファイルなどの特定のファイルやディレクトリに対して、書き込み権限を得ることが可能になります。攻撃者は、これらのファイルを改ざんすることで、システムの挙動を制御したり、機密情報を盗み出したりする可能性があります。特に、PassengerがWebアプリケーションをホストしている環境では、Webアプリケーションのファイルシステムへのアクセス権限を得ることで、より深刻な被害をもたらす可能性があります。この脆弱性は、ローカルアクセスが必要であるため、ネットワーク経由での攻撃は困難ですが、権限昇格を目的とした攻撃に利用される可能性があります。
この脆弱性は、CVE-2014-1831の修正不備に起因しており、同様のシンボリックリンク攻撃のパターンが利用される可能性があります。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、ローカルアクセス権限を持つユーザが攻撃者である場合、悪用されるリスクは存在します。2018年10月10日にCVEが公開されています。
エクスプロイト状況
EPSS
0.07% (21% パーセンタイル)
この脆弱性への対応策として、まずPhusion Passengerをバージョン4.0.38以上にアップデートすることを推奨します。アップデートが困難な場合は、control_process.pidファイルやgeneration-*ファイルへのシンボリックリンク攻撃を防ぐためのアクセス権限設定や、ファイルシステムの監視を行うことで、攻撃の影響を軽減できます。また、WAF(Web Application Firewall)を導入し、シンボリックリンク攻撃のパターンを検知・遮断することも有効です。Passengerの設定ファイルにおいて、ファイルシステムのアクセス制限を強化することも検討してください。
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2014-1832は、Phusion Passenger 4.0.37以前のバージョンにおいて、シンボリックリンク攻撃によりローカルユーザが特定のファイルやディレクトリに書き込める脆弱性です。
Phusion Passengerのバージョンが4.0.37以下の場合、影響を受けます。バージョン4.0.38以上にアップデートしてください。
Phusion Passengerをバージョン4.0.38以上にアップデートすることを推奨します。アップデートが困難な場合は、ファイルシステムのアクセス権限設定や監視を行うことでリスクを軽減できます。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、ローカルアクセス権限を持つユーザが攻撃者である場合、悪用されるリスクは存在します。
Phusion Passengerの公式アドバイザリは、[https://www.phusionpassenger.com/security/advisories/CVE-2014-1832](https://www.phusionpassenger.com/security/advisories/CVE-2014-1832)で確認できます。
Gemfile.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。