1.0.2
CVE-2024-24892は、openEuler migration-toolsにおいて発見されたリモートコード実行(RCE)脆弱性です。この脆弱性は、OSコマンドインジェクションと権限昇格を許容し、攻撃者がシステム上で任意のコマンドを実行することを可能にします。影響を受けるバージョンは1.0.0から1.0.1です。2024年3月25日に公開され、バージョン1.0.2で修正されました。
この脆弱性を悪用されると、攻撃者はmigration-toolsを通じてシステム上で任意のコマンドを実行し、機密情報を窃取したり、システムを完全に制御したりすることが可能になります。特に、migration-toolsが特権ユーザーによって実行されている場合、攻撃者はシステム全体へのアクセス権を得る可能性があります。この脆弱性は、類似のコマンドインジェクション脆弱性と同様に、システムへの深刻な損害をもたらす可能性があります。攻撃者は、この脆弱性を利用して、他のシステムへの横展開を試みる可能性も考えられます。
CVE-2024-24892は、2024年3月25日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。NVDデータベースには、関連する情報が記載されています。
Systems running openEuler with the migration-tools component versions 1.0.0-1.0.1 are at direct risk. Shared hosting environments and systems with exposed migration-tools interfaces are particularly vulnerable due to the ease of exploitation.
• linux / server:
journalctl -u migration-tools | grep -i "command injection"• linux / server:
ps aux | grep -i "index.Py"• generic web:
curl -I <affected_system_ip>/index.Py | grep -i "OS command"disclosure
エクスプロイト状況
EPSS
0.18% (40% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最善の対応は、openEuler migration-toolsをバージョン1.0.2にアップデートすることです。アップデートがすぐに利用できない場合、migration-toolsの実行ユーザーの権限を最小限に制限し、入力の検証を強化することで、攻撃の影響を軽減できます。また、ファイアウォールや侵入検知システム(IDS)を使用して、不審なネットワークトラフィックを監視し、ブロックすることも有効です。アップデート後、migration-toolsのバージョンを確認し、脆弱性が修正されていることを確認してください。
Actualice el paquete migration-tools a una versión posterior a la 1.0.1, si existe, donde se haya corregido la vulnerabilidad. Consulte el anuncio de seguridad de openEuler para obtener más detalles y una versión corregida. Si no hay una versión corregida disponible, considere deshabilitar o eliminar el paquete hasta que se publique una solución.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-24892は、openEuler migration-toolsのバージョン1.0.0~1.0.1において、OSコマンドインジェクションを許容するリモートコード実行(RCE)脆弱性です。攻撃者はこの脆弱性を利用して、システム上で任意のコマンドを実行できます。
openEuler migration-toolsのバージョン1.0.0~1.0.1を使用している場合、この脆弱性の影響を受ける可能性があります。攻撃者は、この脆弱性を悪用して、システムを制御したり、機密情報を窃取したりする可能性があります。
この脆弱性を修正するには、openEuler migration-toolsをバージョン1.0.2にアップデートしてください。アップデートがすぐに利用できない場合は、一時的な緩和策として、migration-toolsの実行ユーザーの権限を最小限に制限し、入力の検証を強化してください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されます。常に最新のセキュリティ情報を確認し、適切な対策を講じることを推奨します。
openEulerの公式アドバイザリは、openEulerのセキュリティ情報ページで確認できます。詳細は、関連するNVDデータベースのエントリを参照してください。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。