概要
Fissionは、Kubernetes上でのサーバーレス関数デプロイを簡略化するオープンソースフレームワークです。v1.24.0未満において、環境RBAC(environments.fission.io のcreate/update権限)を持つテナントが、Fissionのfunctionまたはbuilderネームスペース内で特権コンテナを実行できてしまう脆弱性が発見されました。
この脆弱性により、コンテナサンドボックスを脱出し、ホストのファイルシステムやネットワークへのアクセス、さらにはノードやクラスター全体の侵害につながる可能性があります。マルチテナントKubernetes環境でFissionを使用している場合は特に影響が大きくなります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| スコア | 9.9 (CRITICAL) |
| 攻撃元区分 (AV) | ネットワーク (N) |
| 攻撃の複雑さ (AC) | 低 (L) |
| 必要な特権レベル (PR) | 低 (L) |
| ユーザー関与 (UI) | 不要 (N) |
| スコープ (S) | 変更あり (C) |
| 機密性への影響 (C) | 高 (H) |
| 完全性への影響 (I) | 高 (H) |
| 可用性への影響 (A) | 高 (H) |
| CWE | CWE-250(不必要な特権での実行)、CWE-269(不適切な権限管理) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Fission | fission/fission | v1.24.0未満 |
修正バージョンと回避策
修正バージョン: v1.24.0
推奨アクション:
- Fissionのバージョンを確認する
- v1.24.0以降へのアップデートを実施する
- アップデートが困難な場合は、RBAC設定を見直してenvironments.fission.ioへの権限を最小限に絞る
- マルチテナント環境では特に早急な対応を推奨する
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。