The Critical CVE-2024-1143 Vulnerability in Central Dogma

2024/02/05 SecurityOnline — ソフトウェア開発やシステム管理の世界において、堅牢でセキュアなコンフィグレーション・リポジトリは、円滑な運用や機密データの保護に欠かせない要素だ。LINE が開発した、オープンソースの高可用性バージョン管理サービス設定リポジトリ Central Dogma は、この目的のために広く使われているツールである。しかし最近になって、脆弱性 CVE-2024-1143 の存在が判明し、Central Dogma のユーザーにとって重大な脅威となっている。

Central Dogma 内の SAML (Security Assertion Markup Language) に存在する、クロス・サイトス・クリプティング (XSS) の脆弱性の悪用に成功した攻撃者は、ユーザー・セッション情報の漏洩や認証メカニズムの迂回を可能にするため、その結果は甚大な被害をもたらすものとなる。

この脆弱性 CVE-2024-1143 (CVSS3.1：10.0) は、Critical に分類されているため、この問題への迅速な対処が重要となる。

脆弱性 CVE-2024-1143 の悪用は、広範囲に及ぶ結果をもたらす。ユーザー・セッションの侵害につながる可能性があるため、脅威アクターたちに機密リソースへの不正アクセスを許すことになる。このセキュリティ上の欠陥は、Central Dogma にコンフィグレーション管理を託している、個人と組織の両方に重大な脅威をもたらす。

ただし、Central Dogma の開発チームは、この深刻な脆弱性に迅速に対処している。この問題は、バージョン 0.64.0 で修正されているため、ユーザーに対して強く推奨されるのは、それ以降のリリースへの速やかなアップデートである。

残念なことに、現在のところ、この脆弱性に対する有効な回避策はなく、パッチを適用したバージョンへのアップデートが、唯一の有効な解決策となる。このアップデートが遅延すると、対象システムを悪用のリスクにさらす可能性があるため、迅速な対応が非常に重要である。

システム悪用の可能性を確実に排除するためには、Central Dogma ユーザーはバージョン 0.64.0 以降へのアップデートを急ぐべきである。

ちょっと古い記事ですが、Qiita で Central Dogma を懲戒する記事を見つけました。バージョン管理に Git を使用する、各種のコンフィグ値を中央集権的に管理するリポジトリのことだと説明されています。こんなリポジトリがあることを、初めて知りました。ご利用のチームは、パッチをお急ぎください。