30秒で判断
対応すべき人:
- SUSE Rancher Fleet をマルチテナント環境で利用しているKubernetes管理者
- Rancher Fleet 0.15.x(0.15.2未満)、0.14.x(0.14.6未満)、0.13.x(0.13.11未満)、0.12.x(0.12.15未満)を使用している場合
対応不要な人:
- Rancher Fleet を使用していない環境
- 既に修正済みバージョン(0.15.2/0.14.6/0.13.11/0.12.15以降)を使用している環境
- シングルテナント環境(テナント分離が不要な環境)
確認コマンド:
helm list -n cattle-fleet-system
kubectl get pods -n cattle-fleet-system
概要
SUSE Rancher FleetはKubernetes向けのGitOps型継続的デリバリーツールです。Fleet 0.15.2未満(各ブランチ)において、Helm Deployer の valuesFrom 参照先の検証が不十分な脆弱性が確認されました。
この問題により、あるテナントのオーナーが他テナントのFleet認証情報(Helm Secrets / ConfigMaps等)にアクセスできる可能性があります。マルチテナントのKubernetes環境でRancher Fleetを使用している場合、テナント間のクレデンシャル分離が機能していないことになります。
CVSSベクトル
| 指標 | 値 |
|---|---|
| 攻撃ベクトル(AV) | ネットワーク (N) |
| 攻撃複雑度(AC) | 低 (L) |
| 必要権限(PR) | 低 (L) |
| ユーザー操作(UI) | 不要 (N) |
| スコープ(S) | 変更あり (C) |
| 機密性(C) | 高 (H) |
| 完全性(I) | 高 (H) |
| 可用性(A) | 高 (H) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Rancher Fleet | SUSE | 0.15.x(0.15.2未満) |
| Rancher Fleet | SUSE | 0.14.x(0.14.6未満) |
| Rancher Fleet | SUSE | 0.13.x(0.13.11未満) |
| Rancher Fleet | SUSE | 0.12.x(0.12.15未満) |
修正バージョンと回避策
推奨対応:
- 使用しているブランチに対応する修正バージョンへアップデートする
| 使用ブランチ | 修正バージョン |
|---|---|
| 0.15.x | 0.15.2以降 |
| 0.14.x | 0.14.6以降 |
| 0.13.x | 0.13.11以降 |
| 0.12.x | 0.12.15以降 |
暫定対策: Helm Deployer の valuesFrom 機能の利用を停止し、クレデンシャルを直接参照する設定へ変更する。
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
