プラットフォーム
go
コンポーネント
github.com/juju/juju
修正版
2.9.57
3.6.21
4.0.6
0.0.0-20260408003526-d395054dc2c3
JujuのAPIサーバーにおいて、ユーザーTokensマップの同期処理が不適切である脆弱性が存在します。この脆弱性を悪用されると、認証されたユーザーがサーバーに対してサービス拒否攻撃(DoS)を引き起こしたり、使い捨てのdischargeトークンを再利用したりする可能性があります。影響を受けるバージョンはJuju 2.0.0から4.0.6です。この問題はJuju 4.0.6で修正されています。
CVE-2026-5774 は、Juju API サーバー、特に localLoginHandlers 構造体に影響を与えます。この構造体は、ローカル認証が成功した後、放電トークンを格納するためにメモリ内のマップを使用します。脆弱性は、このマップが同期プリミティブ(mutex など)なしに、複数の HTTP ハンドラーゴルーチンから同時にアクセスされるという点にあります。これにより、トークンの同時読み取り、書き込み、または削除時に Go ランタイムパニックが発生する可能性があります。最悪の場合、放電トークンが削除される前に複数回消費される可能性があり、Juju 環境内のリソースまたはアクションへの不正アクセスにつながる可能性があります。
この脆弱性の悪用には、Juju API サーバーへのアクセスが必要です。攻撃者は、放電トークンの処理における同期の欠如を利用して、トークンが複数回消費されることを期待して、複数のローカル認証リクエストを同時に送信する可能性があります。これにより、攻撃者は正当なユーザーとして Juju 環境内のリソースにアクセスしたり、アクションを実行したりできるようになる可能性があります。悪用の可能性は、API サーバーの負荷とローカル認証の使用頻度によって異なります。KEV (Key Evidence) が存在しないことは、現在、野外での活発な悪用を示す公的な証拠がないことを示しています。
Organizations heavily reliant on Juju for application deployment and management are at significant risk. This includes cloud providers, DevOps teams, and any environment where Juju is used to orchestrate applications, especially those handling sensitive data or critical infrastructure. Environments with legacy Juju installations or those that have not implemented robust access controls are particularly vulnerable.
• linux / server: Monitor Juju API server logs for Go runtime panics or unusual authentication patterns. Use journalctl -u juju-api-server to filter for error messages related to discharge token handling.
journalctl -u juju-api-server | grep -i "panic"• go: Review Juju source code for potential concurrency issues in the localLoginHandlers struct and related functions. Use static analysis tools to identify potential race conditions.
• generic web: Monitor authentication endpoints for unusual request patterns or excessive authentication attempts. Check access logs for errors related to discharge token handling.
disclosure
エクスプロイト状況
EPSS
0.01% (2% パーセンタイル)
CISA SSVC
提供されている修正 (0.0.0-20260408003526-d395054dc2c3) は、放電トークンマップへの同時アクセスを保護するために、mutex などの適切な同期メカニズムを導入することで、この脆弱性を修正します。可能な限り早くこのパッチを適用することを強くお勧めします。さらに、Juju 環境のセキュリティポリシーを確認し、リソースへのアクセスを承認されたユーザーとサービスに制限してください。Juju API サーバーのログを監視して、エラーや異常な動作がないか確認することも、潜在的な悪用試行を検出するのに役立ちます。追加のセキュリティレイヤーとして、多要素認証 (MFA) の実装を検討してください。
Actualice el servidor de la API de Juju a la versión 2.9.57 o superior, 3.6.21 o superior, o 4.0.6 o superior para mitigar la vulnerabilidad. La actualización corrige la sincronización incorrecta del mapa de tokens de usuario, previniendo así posibles ataques de denegación de servicio o la reutilización de tokens de descarga de un solo uso.
脆弱性分析と重要アラートをメールでお届けします。
放電トークンは、認証が成功した後、ユーザーが Juju 環境にアクセスできるようにする一時的な識別子です。
この脆弱性により、攻撃者が Juju 環境内のリソースへの不正アクセスを許可したり、アクションを実行したりする可能性があります。
すぐにアップグレードできない場合は、Juju API サーバーへのアクセスを制限し、ログに不審な活動がないか監視してください。
現在、この脆弱性が実際に悪用されたという公的な証拠はありません (KEV: いいえ)。
この脆弱性に関する詳細については、Juju GitHub リポジトリで確認できます: github.com/juju/juju
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。