HIGHCVE-2024-5154CVSS 8.1

悪意のあるコンテナがホスト External に "mtab" シンボリックリンクを作成する (github.com/cri-o/cri-o)

プラットフォーム

コンポーネント

github.com/cri-o/cri-o

修正版

1.30.1

1.29.5

1.28.7

AI Confidence: highNVDEPSS 1.7%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-5154は、github.com/cri-o/cri-oにおける脆弱性です。この脆弱性により、悪意のあるコンテナがホストの外部に「mtab」という名前のシンボリックリンクを作成することが可能となり、システムへのアクセス権を奪われるリスクがあります。影響を受けるバージョンはcri-oの特定のバージョンです。この脆弱性は1.28.7で修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がコンテナ内で悪意のあるコードを実行し、そのコードがホストファイルシステム上の「mtab」という名前のシンボリックリンクを作成することで悪用される可能性があります。これにより、攻撃者はホストの重要なファイルにアクセスしたり、改ざんしたり、システムを完全に制御したりする可能性があります。この攻撃は、コンテナエスケープ攻撃の一種であり、cri-oを使用している環境全体に影響を及ぼす可能性があります。特に、コンテナの権限が適切に制限されていない場合、攻撃の成功率は高くなります。

悪用の状況

CVE-2024-5154は2024年6月14日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、コンテナエスケープ攻撃の可能性を考慮すると、将来的に悪用されるリスクがあります。CISA KEVカタログへの登録状況は不明ですが、cri-oを使用している環境では、早急な対応が必要です。

リスク対象者翻訳中…

Organizations heavily reliant on containerized applications using cri-o are at risk. This includes Kubernetes clusters and environments utilizing cri-o as a container runtime. Specifically, deployments with lenient container isolation policies or those running older, unpatched cri-o versions are particularly vulnerable.

検出手順翻訳中…

• linux / server:

journalctl -u cri-o -g "symlink creation"

• linux / server:

find / -name mtab -type l

• linux / server:

ps aux | grep cri-o | grep -i mtab

攻撃タイムライン

2024-06-14Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.68% (82% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgithub.com/cri-o/cri-o

ベンダーosv

影響範囲修正版

1.30.0 – 1.30.11.30.1

1.29.4 – 1.29.51.29.5

1.28.6 – 1.28.71.28.7

1.28.61.28.7

1.29.41.28.7

1.30.01.28.7

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-05-20
公開日2024-06-14
更新日2026-03-03
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への主な対策は、cri-oをバージョン1.28.7以降にアップグレードすることです。アップグレードが困難な場合は、コンテナの権限を厳密に制限し、ホストファイルシステムへのアクセスを最小限に抑えることでリスクを軽減できます。また、WAFやIPSなどのセキュリティデバイスを使用して、悪意のあるシンボリックリンク作成の試みを検出およびブロックすることも有効です。cri-oの設定を定期的に監査し、不要な権限やアクセス許可がないか確認することも重要です。アップグレード後、cri-o versionコマンドを実行してバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice cri-o a la versión 1.30.1 o superior, o a las versiones indicadas en los advisories de Red Hat (RHSA-2024:10818, RHSA-2024:3676, RHSA-2024:3700). Esto evitará que contenedores maliciosos creen enlaces simbólicos en el host y accedan a archivos arbitrarios.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-5154 — 悪意のあるコンテナによるシンボリックリンク作成 in cri-oとは何ですか？

CVE-2024-5154は、cri-oにおいて、悪意のあるコンテナがホストの外部にシンボリックリンクを作成できる脆弱性です。これにより、攻撃者はホストファイルシステムにアクセスし、システムを侵害する可能性があります。

CVE-2024-5154 in cri-oに影響を受けますか？

cri-oのバージョンが1.28.7より前の場合は、この脆弱性に影響を受ける可能性があります。使用しているcri-oのバージョンを確認し、必要に応じてアップグレードしてください。

CVE-2024-5154 in cri-oを修正するにはどうすればよいですか？

cri-oをバージョン1.28.7以降にアップグレードすることで、この脆弱性を修正できます。アップグレードが困難な場合は、コンテナの権限を制限するなどの緩和策を講じてください。

CVE-2024-5154は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、将来的に悪用されるリスクがあるため、早急な対応が必要です。

CVE-2024-5154に関する公式cri-oのアドバイザリはどこで入手できますか？

公式のアドバイザリは、github.com/cri-o/cri-oのリポジトリで確認できます。

悪意のあるコンテナがホスト External に "mtab" シンボリックリンクを作成する (github.com/cri-o/cri-o)

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法翻訳中…

CVEセキュリティニュースレター

よくある質問

CVE-2024-5154 — 悪意のあるコンテナによるシンボリックリンク作成 in cri-oとは何ですか？

CVE-2024-5154 in cri-oに影響を受けますか？

CVE-2024-5154 in cri-oを修正するにはどうすればよいですか？

CVE-2024-5154は積極的に悪用されていますか？

CVE-2024-5154に関する公式cri-oのアドバイザリはどこで入手できますか？

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認