このウェブページのスクリーンショットから、脆弱性に関する以下の主要な情報を取得できます。 1. 脆弱性概要: - 脆弱性名称:BMO can expose particularly named secrets from other namespaces via BMH CRD - 公開者:tuminoid - 脆弱性番号:GHSA-pqfh-xh7w-7h3p - 公開日:昨日 2. 影響を受けるバージョン: - 影響を受けるバージョン:< v0.8.0 - 修正済みバージョン:v0.8.0, v0.6.2, v0.5.2 3. 脆弱性の影響: - 概要:Bare Metal Operator (BMO) は、Metal3 でベアメタルホストを管理するための Kubernetes API を実装しています。BareMetalHost (BMH) CRD では、 、 、 フィールドに Kubernetes Secrets へのリンクを指定できるようになっています。これらフィールドには と が含まれるため、BareMetalOperator は任意の命名空間から Secret を読み取ります。 の作成または編集権限を持つユーザーは、 フィールドを利用して他の命名空間にある Secret を不正に露出させることができます。 4. 制限要因: - BMO は、 (または 、 、 )という名前のキーのみを読み取るため、露出の程度は制限されます。 は一般的なキー名である可能性があります。 5. 緩和策: - BMO が修正され、他の命名空間からの Secret を BMH の入力として受け付けることが防止されました。これにより、任意の BMH 設定は同じ命名空間からのみ読み取りを行うようになります。 - 修正されたバージョンにアップグレードする際は、v0.8.0、v0.6.2、および v0.5.2 を使用してください。アップグレード前には、BMC Secrets を BMH が存在する命名空間へコピーする必要があります。アップグレード後には、古い Secrets を削除してください。 6. 回避策(ワークアラウンド): - 運用者は、BMO の RBAC をクラスターレベルバインドではなく命名空間レベルバインドの Secrets に設定することで、BMO が他の命名空間から Secret にアクセスするのを防止できます。 7. 参考リンク: - NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-43803 - GitHub Issue: #1929, #1930, #1931 これらの情報は、脆弱性の詳細な概要、影響を受けるバージョン、緩和策、回避策、および関連する参考リンクを提供しています。