概要
Canonical Juju コントローラの Controller ファサードに認可不備の脆弱性が発見されました。認証済みの低権限ユーザーが CloudSpec API を呼び出すことで、コントローラのブートストラップに使用されたクラウド資格情報を取得できます。
この脆弱性により、攻撃者はクラウドプロバイダーへの不正アクセスや、クラウドインフラ全体の侵害につながる可能性があります。Juju 2.9.57 および 3.6.21 で修正されています。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.9 |
| 深刻度 | Critical |
| 攻撃経路 (AV) | ネットワーク (Network) |
| 攻撃複雑度 (AC) | 低 (Low) |
| 必要権限 (PR) | 低 (Low) |
| ユーザー操作 (UI) | 不要 (None) |
| CWE | CWE-285 (認可不備) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Juju | Canonical | 2.9.57 未満 |
| Juju | Canonical | 3.6.21 未満 |
修正バージョンと回避策
- 修正バージョン: Juju 2.9.57 または 3.6.21 以降へアップデート
- 推奨事項: アップデート後、クラウド資格情報のローテーションを検討してください
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。