プラットフォーム
go
コンポーネント
github.com/containers/podman
修正版
1.4.1
1.4.0
CVE-2019-10152は、github.com/containers/Podmanにおいて検出されたパストラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上の任意のファイルを読み書きすることが可能となり、機密情報の漏洩やシステムの改ざんにつながる可能性があります。影響を受けるバージョンはPodman 1.4.0以前です。現在、最新バージョンへのアップグレードによって脆弱性が修正されています。
この脆弱性は、攻撃者がPodmanの機能を利用して、本来アクセスできないはずのシステム上のファイルを読み書きすることを可能にします。例えば、攻撃者は設定ファイルや機密情報を含むファイルを読み出し、それらを改ざんすることでシステムの動作を制御したり、不正なコードを実行したりする可能性があります。攻撃の成功は、Podmanを起動しているシステムへのアクセス権に依存しますが、一度アクセス権を得てしまうと、その影響は広範囲に及ぶ可能性があります。この脆弱性の悪用は、他のパストラバーサル脆弱性の悪用と同様に、機密情報の漏洩、システムの停止、さらにはマルウェアの感染といった深刻な結果を招く可能性があります。
この脆弱性は、公開されており、攻撃者が悪用する可能性があります。現時点では、KEV(カーネル脆弱性評価)に登録されていませんが、公開されているため、攻撃者による悪用のリスクは高いと考えられます。公開されているPoC(Proof of Concept)コードが存在する可能性があり、攻撃者はそれらを利用して脆弱性を悪用する可能性があります。NVD(National Vulnerability Database)およびCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)の情報を定期的に確認し、最新の情報を把握することが重要です。
Organizations heavily reliant on containerization technologies, particularly those using Podman for development, testing, or production deployments, are at risk. Environments with shared hosting or multi-tenant container setups are especially vulnerable, as a compromise of one container could potentially impact others. Legacy Podman installations running older, unpatched versions are also at heightened risk.
• go / container: Inspect Podman container configurations for unusual file paths or access permissions.
ps aux | grep podman• linux / server: Monitor system logs for suspicious file access attempts, particularly those involving traversal sequences (e.g., '../').
journalctl -u podman -f | grep "../"• generic web: Examine Podman API endpoints for potential vulnerabilities related to file handling. Use curl to test for directory traversal.
curl 'http://localhost:8080/v1/containers/json?name=mycontainer&path=../../../../etc/passwd' #Example - adjust URLdisclosure
エクスプロイト状況
EPSS
0.36% (58% パーセンタイル)
CVSS ベクトル
この脆弱性への対応策として、まずPodmanをバージョン1.4.0以降にアップグレードすることが推奨されます。アップグレードが困難な場合は、一時的な回避策として、Podmanがアクセスできるファイルパスを制限するなどの対策を講じることが考えられます。また、WAF(Web Application Firewall)やプロキシサーバーを導入し、不正なファイルアクセスを検知・遮断することも有効です。Podmanのログを監視し、異常なファイルアクセスパターンを検出することも重要です。アップグレード後、podman infoコマンドを実行し、バージョンが1.4.0以降であることを確認してください。
Actualice Podman a la versión 1.4.0 o superior. Esta versión corrige la vulnerabilidad de path traversal al manejar enlaces simbólicos dentro de los contenedores, evitando que un atacante comprometido pueda leer o escribir archivos arbitrarios en el sistema host.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2019-10152は、github.com/containers/Podmanにおけるパストラバーサル脆弱性であり、攻撃者が任意のファイルを読み書きする可能性があります。
Podmanのバージョンが1.4.0以前の場合は、この脆弱性の影響を受けます。最新バージョンへのアップグレードが必要です。
Podmanをバージョン1.4.0以降にアップグレードしてください。アップグレードが難しい場合は、ファイルパスの制限などの回避策を検討してください。
この脆弱性は公開されており、攻撃者による悪用のリスクは高いと考えられます。
github.com/containers/podmanのリリースノートを参照してください。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。