Ansible-automation-platform: 特権昇格の脆弱性 - /etc/passwd の過剰なグループ書き込み可能な権限

Ansible Automation Platform の特定のイメージにおいて、コンテナの権限昇格の脆弱性が確認されました (CVE-2025-57847)。この問題は、イメージのビルドプロセス中に /etc/passwd ファイルがグループ書き込み可能な権限で作成されることに起因します。これにより、影響を受けるコンテナ内でコマンドを実行できる攻撃者は、たとえ非 root ユーザーとして実行されていても、root グループのメンバーシップを利用してこのファイルを変更できる可能性があります。この脆弱性を悪用すると、攻撃者は任意の UID を持つ新しいユーザーを追加でき、システムへの root アクセスを獲得する可能性があります。脆弱性の深刻度は CVSS 6.4 と評価されており、中程度のリスクを示しています。このリスクを軽減するため、バージョン 2.5.4 以降にアップデートすることが重要です。

1. 予約済み2025-08-21
2. 公開日2026-04-08
3. EPSS 更新日2026-04-16

推奨される解決策は、Ansible Automation Platform をバージョン 2.5.4 以降にアップデートすることです。このバージョンには、/etc/passwd ファイルがグループ書き込み可能な権限で作成されるのを防ぐ修正が含まれています。即時のアップデートが不可能な場合は、コンテナの設定を確認し、/etc ディレクトリへの書き込み権限を制限してください。コンテナ内のユーザーがタスクに必要な最小限の権限のみを持つように、最小権限の原則を適用することも重要です。コンテナの活動を監視し、堅牢なセキュリティポリシーを実装することで、潜在的な攻撃を検出し、防止するのに役立ちます。KEV (Kernel Exploitability Enumeration) が存在しないことは、公開されているエクスプロイトが見つかっていないことを示していますが、セキュリティのためにアップデートは依然として不可欠です。