关键信息 漏洞描述 漏洞编号: CVE-2024-45496 公开日期: 2024年9月16日 最近更新日期: 2024年9月16日 严重性: 重要 描述: 在OpenShift中发现了一个漏洞,该漏洞是由于OpenShift Container Platform的构建过程中的特权提升滥用导致的。在构建初始化步骤中,git-clone容器以特权安全上下文运行,允许对节点进行不受限制的访问。具有开发人员级别的攻击者可以提供一个包含在克隆过程中执行的命令的.gitconfig文件,导致任意命令在工作节点上执行。在特权容器中运行的攻击者可以提升他们在节点上的权限。 影响 受影响的OpenShift版本: 所有版本 受影响的组件: ose-openshift-controller-manager 受影响的状态: 影响 防范措施 建议: 集群管理员应遵循“Securing Builds by Strategy”中的说明,以阻止使用“Docker”和“Source”构建策略的集群,或限制其使用到一组高度信任的用户,直到集群能够升级。 链接: 补丁信息 受影响的包: Red Hat OpenShift Container Platform 4 补丁状态: 影响 CVSS评分 CVSS v3 Base Score: 9.9 攻击向量: 网络 攻击复杂性: 低 权限要求: 低 用户交互: 无 影响范围: 改变 机密性影响: 高 完整性影响: 高 可用性影响: 低 承认 发现者: Thibault Guittet (Red Hat) 常见问题 为什么Red Hat的CVSS v3评分与其他供应商不同? 我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布修复此漏洞的补丁? 如果我的产品被列为“无法修复”,我该怎么办? 如果我的产品被列为“修复延期”,我该怎么办? 什么是缓解措施? 我有Red Hat产品,但不在上述列表中,它是否受影响? 为什么我的安全扫描器报告我的产品受到此漏洞的影响,尽管我的产品版本已修复或不受影响? 其他信息 页面生成时间: 2024年9月16日8:41:35 UTC 版权: 2021年 总结 这个漏洞是由于OpenShift Container Platform的构建过程中的特权提升滥用导致的,影响了所有版本的OpenShift。建议集群管理员遵循安全策略来阻止使用“Docker”和“Source”构建策略,直到集群能够升级。