平台
go
组件
github.com/openshift/openshift-controller-manager
修复版本
4.18.1
0.0.0-alpha.0.0.20240911
OpenShift Container Platform 存在一个严重的安全漏洞,由于构建过程中的权限滥用导致。该漏洞允许攻击者通过精心构造的 .gitconfig 文件在工作节点上执行任意命令。受影响的版本包括 0.0.0-alpha.0.0 及更早版本。已发布补丁版本 0.0.0-alpha.0.0.20240911,建议立即升级。
该漏洞的影响极其严重,攻击者无需特殊权限,仅需开发者级别的访问权限即可利用。攻击者可以创建一个恶意的 .gitconfig 文件,该文件中的命令将在克隆过程中执行,从而在工作节点上获得任意代码执行权限。这可能导致攻击者完全控制受影响的节点,窃取敏感数据、安装恶意软件,甚至进行横向移动攻击,影响整个 OpenShift 集群的安全。该漏洞的潜在影响范围非常广阔,类似于某些供应链攻击模式,可能导致大规模的安全事件。
该漏洞已公开披露,且由于其严重性和易利用性,可能成为攻击者的目标。目前尚未观察到大规模的利用活动,但由于存在公开的漏洞信息,攻击者可能正在积极寻找利用该漏洞的机会。该漏洞尚未被添加到 CISA KEV 目录,但其严重程度表明应予以高度关注。建议密切监控 OpenShift 环境,并及时采取必要的安全措施。
Organizations deploying OpenShift Container Platform, particularly those with developer access granted to external contributors or automated build pipelines, are at significant risk. Environments utilizing custom build configurations or integrating external repositories should be prioritized for remediation.
• linux / server:
journalctl -u openshift-controller-manager -g 'git-clone' | grep -i error• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*openshift*'} | Format-List TaskName, Actions• generic web:
curl -I <openshift_build_endpoint>disclosure
patch
漏洞利用状态
EPSS
0.13% (33% 百分位)
CISA SSVC
CVSS 向量
为了缓解该漏洞,最有效的措施是立即升级到 0.0.0-alpha.0.0.20240911 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 git-clone 容器的权限,确保其无法访问敏感资源;审查 .gitconfig 文件的来源,防止恶意配置;实施严格的访问控制策略,限制开发者对构建过程的访问权限。升级后,请验证新版本是否已成功部署,并确认漏洞已得到修复。
升级 OpenShift Container Platform 到已修复的版本。有关更多详细信息和升级说明,请参阅 Red Hat 安全公告 (RHSA) RHSA-2024:3718, RHSA-2024:6685 和 RHSA-2024:6687。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-45496 是 OpenShift Container Platform 构建过程中发现的一个远程代码执行 (RCE) 漏洞,攻击者可以通过恶意 .gitconfig 文件在工作节点上执行任意命令。
如果您正在使用 OpenShift Container Platform 的 0.0.0-alpha.0.0 或更早版本,则可能受到影响。请立即升级到 0.0.0-alpha.0.0.20240911 或更高版本。
最有效的修复方法是升级到 0.0.0-alpha.0.0.20240911 或更高版本。如果无法立即升级,请参考缓解措施,限制 git-clone 容器的权限。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,攻击者可能正在积极寻找利用该漏洞的机会。
请查阅 OpenShift Container Platform 的官方安全公告,以获取有关此漏洞的更多详细信息和修复指南。
上传你的 go.mod 文件,立即知道是否受影响。