Kritische Sicherheitslücken in OpenShift zur Privilege Escalation und Befehlseinschleusung gefunden

Table of Contents

Am 16. September 2024 wurden zwei schwerwiegende Schwachstellen in der OpenShift Container Platform bekannt gegeben, die potenziell zu einer Kompromittierung von Clustern führen können. Beide Sicherheitslücken betreffen den Build-Prozess und erlauben es Angreifern, mit bestimmten Berechtigungen, beliebige Befehle auszuführen und erweiterte Rechte zu erlangen.

CVE-2024-45496 - Missbrauch von erhöhten Rechten im Build-Prozess

Diese Schwachstelle tritt auf, wenn der git-clone-Container während der Build-Initialisierung mit privilegierten Rechten läuft. Ein Angreifer mit Entwicklerzugriff kann eine speziell gestaltete .gitconfig-Datei bereitstellen und dadurch beliebigen Code auf dem Knoten ausführen, auf dem der Container läuft. Der Fehler betrifft die OpenShift-Build-Strategien “Docker” und “Source”.

Schweregrad: CVSS 9.9 (kritisch)

Mitigation: Cluster-Administratoren sollten die Verwendung der “Docker”- und “Source”-Strategien einschränken oder für vertrauenswürdige Benutzer reservieren.

CVE-2024-7387 - Pfadüberschreitung und Befehlseinschleusung

Diese Schwachstelle ermöglicht es einem Angreifer, Pfadüberschreitungsangriffe durchzuführen, wenn eine Docker-Build-Strategie verwendet wird. Angreifer können durch das Überschreiben von ausführbaren Dateien innerhalb des privilegierten Containers mithilfe des Attributs spec.source.secrets.secret.destinationDir in der BuildConfig-Definition beliebige Befehle auf dem OpenShift**-**Clustern ausführen.

Schweregrad: CVSS 9.1 (hoch)

Mitigation: Cluster-Administratoren sollten die Verwendung der “Docker”-Build-Strategie einschränken oder nur hoch vertrauenswürdigen Benutzern erlauben.

Redhat hat mittlerweile Patches bereitgestellt und empfiehlt die Einschränkung von Build Strategy Rechten.

Related Posts

Sicherheitslücke in der JPEG 2000-Bibliothek Kakadu ermöglicht Remote Code Execution

Das Cloud Vulnerability Research (CVR)-Team von Google hat eine kritische Sicherheitslücke in der JPEG 2000-Bibliothek Kakadu entdeckt. Die Schwachstelle betrifft Speicherbeschädigungen und ermöglicht unter bestimmten Bedingungen die Ausführung von beliebigem Code (Remote Code Execution, RCE). Durch eine Technik namens “Conditional Corruption” war es dem CVR-Team möglich, speziell präparierte Bilder zu erstellen, die auf Servern mit der Kakadu-Bibliothek ausgeführt werden, um sensible Informationen zu exfiltrieren.

Read More

Path Traversal-Schwachstelle in Spring Web Frameworks entdeckt

Am 12. September 2024 wurde eine Path Traversal-Schwachstelle (CVE-2024-38816) in den funktionalen Web-Frameworks WebMvc.fn und WebFlux.fn entdeckt. Anwendungen, die statische Ressourcen über diese Frameworks bereitstellen, sind anfällig für Angriffe, bei denen Angreifer Zugriff auf Dateien des Dateisystems erhalten können. Dies betrifft Anwendungen, die RouterFunctions mit einem FileSystemResource-Standort verwenden.

Read More

Neue Regelungen zur Gesichtserkennung durch Polizei geplant

Am 11. September 2024 wurde ein Gesetzesentwurf veröffentlicht, der der Polizei erlaubt, Verdächtige mithilfe von Gesichtserkennung zu identifizieren. Ermittler sollen biometrische Fotos von Verdächtigen mit öffentlich zugänglichen Internetbildern abgleichen dürfen. Dies betrifft jedoch nur statische Bild- und Videodateien, nicht Echtzeitübertragungen wie Livestreams. Der Abgleich darf nur für schwerwiegende Straftaten erfolgen, und die erhobenen Daten müssen gelöscht werden, wenn sie keinen Ermittlungsansatz bieten.

Read More