概要
Rancher Fleet において、Helm チャートのテンプレートレンダリング処理に深刻な権限バイパスの脆弱性が発見されました。
Fleet は Kubernetes クラスタに対する GitOps ベースのデプロイメントを管理するコンポーネントです。本脆弱性では、Helm の impersonation メカニズムにおいて RESTClientGetter がテンプレートレンダリング時に cluster-admin 権限を不適切に保持してしまいます。これにより、本来制限されるべき権限でのリソース操作が可能となり、Kubernetes クラスタ全体のセキュリティが損なわれるリスクがあります。
Fleet は Rancher エコシステムにおけるマルチクラスタ管理の中核コンポーネントであり、影響を受ける環境では速やかなアップデートが必要です。複数のバージョン系列にわたって修正がリリースされています。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 9.1 |
| 深刻度 | Critical |
| CWE | CWE-269 (不適切な権限管理) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 低 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン | 修正バージョン |
|---|---|---|---|
| Fleet | Rancher (SUSE) | 0.11.x 系列 | 0.11.13 |
| Fleet | Rancher (SUSE) | 0.12.x 系列 | 0.12.14 |
| Fleet | Rancher (SUSE) | 0.13.x 系列 | 0.13.10 |
| Fleet | Rancher (SUSE) | 0.14.x 系列 | 0.14.5 |
| Fleet | Rancher (SUSE) | 0.15.x 系列 | 0.15.1 |
修正バージョンと回避策
- 修正バージョン: 使用中のバージョン系列に対応する修正版へアップデートしてください(0.11.13 / 0.12.14 / 0.13.10 / 0.14.5 / 0.15.1)
- 確認事項: Fleet を利用した Helm チャートのデプロイを行っている環境では、速やかにバージョンを確認してください
- 回避策: アップデートが即座に適用できない場合は、Fleet による Helm テンプレートレンダリングが信頼されたリポジトリからのみ実行されるよう、GitRepo リソースのアクセス制御を強化してください
関連リンク
データソース: GitHub Advisory Database, NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。