JVNDB-2024-029756

 HashiCorpのNomadにおける別領域リソースに対する外部からの制御可能な参照に関する脆弱性

HashiCorp NomadおよびNomad Enterpriseのバージョン0.6.1から1.6.13、1.7.10、1.8.2までには、複数のアーカイブヘッダーが同じファイルを対象とする場合、アロケーションディレクトリのマイグレーション中にアーカイブ展開処理がアロケーションディレクトリ外への書き込みを引き起こす脆弱性が存在します。この問題は、Nomad 1.6.14、1.7.11、1.8.3で修正されています。悪用するためには、まずソースアロケーションのNomadクライアントエージェントへのアクセス権限を取得または侵害する必要があります。

HashiCorp

• Nomad 0.6.1 以上 1.6.14 未満
• Nomad 1.7.0 以上 1.7.11 未満
• Nomad 1.8.0 から 1.8.3
• Nomad 1.8.0 以上 1.8.3 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

HashiCorp

• HashiCorp : HCSEC-2024-17 - Nomad Vulnerable to Allocation Directory Escape On Non-Existing File Paths Through Archive Unpacking - Security - HashiCorp Discuss

1. 別領域リソースに対する外部からの制御可能な参照(CWE-610) [その他]

1. CVE-2024-7625

1. National Vulnerability Database (NVD) : CVE-2024-7625

• [2026年01月06日]
    掲載