無料スキャン
MEDIUMCVE-2026-44919CVSS 4.3

CVE-2026-44919: 無限ループ脆弱性 in OpenStack Ironic

プラットフォーム

linux

コンポーネント

ironic

修正版

a3f6d735ac3642ab95b49142c7305f072ae748d0

NVDで見る
保存

CVE-2026-44919は、OpenStack Ironicにおける画像処理の脆弱性です。この脆弱性は、file:///dev/zero URLを介したチェックサム計算中に無限ループを引き起こし、サービス拒否(DoS)攻撃につながる可能性があります。影響を受けるバージョンは0.0.0–a3f6d735ac3642ab95b49142c7305f072ae748d0です。バージョンa3f6d735ac3642ab95b49142c7305f072ae748d0へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はfile:///dev/zero URLをOpenStack Ironicに送信することで、無限ループを引き起こし、システムリソースを枯渇させ、サービス拒否状態に陥らせることができます。攻撃者は、Ironicコンピュートノードの可用性を低下させ、仮想マシンのプロビジョニングや管理に影響を与える可能性があります。この攻撃は、特にIronicが多数のイメージを処理している環境において、より深刻な影響をもたらす可能性があります。この脆弱性は、OpenStack環境全体の可用性と安定性に影響を与える可能性があります。

悪用の状況

この脆弱性は、2026年5月14日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。しかし、無限ループを引き起こす可能性があり、サービス拒否攻撃につながる可能性があるため、注意が必要です。KEV (Kernel Exploitability Tracking) の評価は未定です。EPSS (Exploit Prediction Scoring System) のスコアも未定です。公開されているNVD (National Vulnerability Database) の情報もまだありません。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L4.3MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityLowサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
なし — 完全性への影響なし。
Availability
低 — 部分的または断続的なサービス拒否。

影響を受けるソフトウェア

コンポーネントironic
ベンダーOpenStack
最小バージョン0.0.0
最大バージョンa3f6d735ac3642ab95b49142c7305f072ae748d0
修正版a3f6d735ac3642ab95b49142c7305f072ae748d0

弱点分類 (CWE)

CWE-696

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策

この脆弱性への対応策として、OpenStack Ironicをバージョンa3f6d735ac3642ab95b49142c7305f072ae748d0にアップデートすることが推奨されます。アップデートが困難な場合は、一時的な回避策として、file:///dev/zero URLをIronicが処理しないように設定するか、Ironicのチェックサム計算のタイムアウト値を短縮することを検討してください。また、Ironicノードへのアクセスを制限し、信頼できるソースからのイメージのみを処理するように設定することで、攻撃のリスクを軽減できます。アップデート後、Ironicサービスを再起動し、正常に動作していることを確認してください。

修正方法翻訳中…

Actualice OpenStack Ironic a la versión a3f6d735ac3642ab95b49142c7305f072ae748d0 o superior para evitar el bucle infinito en los cálculos de checksums al manejar imágenes a través de la URL file:///dev/zero.  Revise las notas de la versión para obtener instrucciones de actualización específicas.  Asegúrese de probar la actualización en un entorno de prueba antes de aplicarla a producción.

よくある質問

CVE-2026-44919 — 無限ループ脆弱性 in OpenStack Ironicとは何ですか?

CVE-2026-44919は、OpenStack Ironicの画像処理における無限ループを引き起こす脆弱性です。file:///dev/zero URL経由でチェックサム計算中に発生し、サービス拒否につながる可能性があります。

CVE-2026-44919 in OpenStack Ironicに影響されていますか?

OpenStack Ironicのバージョンが0.0.0–a3f6d735ac3642ab95b49142c7305f072ae748d0より古い場合、影響を受けている可能性があります。バージョン確認を行ってください。

CVE-2026-44919 in OpenStack Ironicをどのように修正しますか?

OpenStack Ironicをバージョンa3f6d735ac3642ab95b49142c7305f072ae748d0にアップデートしてください。アップデートが困難な場合は、一時的な回避策として、file:///dev/zero URLを処理しないように設定するか、チェックサム計算のタイムアウト値を短縮してください。

CVE-2026-44919は現在積極的に悪用されていますか?

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。しかし、潜在的なリスクがあるため、対応を推奨します。

CVE-2026-44919に関するOpenStack Ironicの公式アドバイザリはどこで入手できますか?

OpenStack Ironicの公式アドバイザリは、OpenStackのセキュリティアドバイザリページで確認できます。詳細は、OpenStackのドキュメントを参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...