重要情報 脆弱性情報 CVE番号: CVE-2024-7557 公開日: 2024年8月7日 最終更新日: 2024年8月8日 深刻度: 中 説明: OpenShift AIにおいて、同じネームスペース内のモデル間で認証回避および権限昇格を可能にする脆弱性が発見されました。AIモデルをデプロイする際、UIにはモデルを保護するための認証オプションが用意されています。しかし、あるモデルの資格情報は、同じネームスペース内の他のモデルやAPIへのアクセスに使用できます。UI上で確認できるServiceAccountトークンは、 コマンドを使用して悪用でき、ServiceAccountに関連する昇格されたビュー権限を行使し、追加リソースへの不正アクセスを可能にします。 補足情報 Bugzilla: 2303094 CWE: 200, 284 FAQ: CVE-2024-7557に関するよくある質問 影響を受けるパッケージとRed Hatセキュリティパッチ 影響を受けるパッケージ: - Red Hat OpenShift AI (RHOAI) - Red Hat OpenShift Data Science (RHODS) 影響を受けるコンポーネント: - - - CVSSスコア CVSS v3 ベーススコア: 7.6 CVSS v3 ベクター: 謝辞 感謝: この問題を報告してくれたAdam Belluscio(RedHat)に感謝します。 よくある質問 なぜRed HatのCVSS v3スコアや影響範囲が他のベンダーと異なるのですか? 製品が「調査中」または「影響を受ける」としてリストされていますが、Red Hatはこの脆弱性に対する修正をいつリリースしますか? 製品が「修正しない」としてリストされている場合、どうすればよいですか? 緩和策とは何ですか? Red Hat製品を持っていますが、上記のリストに含まれていません。この製品は影響を受けますか? 製品のバージョンが修正済みまたは影響を受けないにもかかわらず、セキュリティスキャナーが製品がこの脆弱性の影響を受けると報告するのはなぜですか? 著作権および更新情報 最終更新日: 2024年8月8日 21:17:49 UTC CVE記述の著作権: © 2021