プラットフォーム
linux
コンポーネント
virt-install
修正版
2.2.1
CVE-2019-10183は、仮想マシンプロビジョニングツールであるvirt-installの--unattendedオプションに存在する情報漏洩の脆弱性です。このオプションは、コマンドライン引数としてゲストVMのパスワードを受け入れますが、そのパスワードが他のユーザーにプロセスリストを通じて公開される可能性があります。影響を受けるバージョンはvirt-manager v2.2.0以降であり、バージョン2.2.1へのアップグレードでこの問題は修正されています。
この脆弱性を悪用されると、攻撃者はvirt-installを実行しているシステム上で、仮想マシンのパスワードをプロセスリストから取得できます。これにより、攻撃者は仮想マシンに不正にアクセスし、機密情報を盗んだり、システムを制御したりする可能性があります。特に、複数のユーザーが同じシステム上でvirt-installを使用している環境では、パスワードが他のユーザーに漏洩するリスクが高まります。この脆弱性は、仮想環境のセキュリティを脅かす可能性があります。
この脆弱性は、2019年7月3日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、プロセスリストからパスワードが漏洩する可能性は潜在的なリスクとなります。KEVへの登録状況は不明です。公開されているPoCは確認されていません。
エクスプロイト状況
EPSS
0.14% (34% パーセンタイル)
CVSS ベクトル
この脆弱性への対応策として、まずvirt-installをバージョン2.2.1以降にアップグレードすることを推奨します。アップグレードが困難な場合は、--unattendedオプションの使用を避け、パスワードをコマンドライン引数として渡さないようにしてください。代替策として、WAFやIDS/IPSなどのセキュリティツールを導入し、プロセスリストへのパスワードの露出を監視することも有効です。また、virt-installを実行するユーザーアカウントの権限を最小限に抑えることで、リスクを軽減できます。
パスワードを直接コマンドラインで '--unattended' オプションで使用することを避けてください。仮想マシンの作成を自動化する必要がある場合は、環境変数やアクセス制限された設定ファイルなど、より安全な方法でパスワードを提供してください。利用可能な場合は、この問題を修正する virt-manager の後続バージョンにアップデートしてください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2019-10183は、virt-installユーティリティの--unattendedオプションにおける情報漏洩の脆弱性です。ゲストVMのパスワードがプロセスリストに表示される可能性があります。
virt-manager v2.2.0以降を使用している場合は、影響を受ける可能性があります。バージョン2.2.1以降にアップグレードしてください。
virt-installをバージョン2.2.1以降にアップグレードしてください。アップグレードが困難な場合は、--unattendedオプションの使用を避けてください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。
Red Hatのセキュリティアドバイザリを参照してください: https://access.redhat.com/security/cve/CVE-2019-10183