CVE-2024-2975: Octopus Deploy Patches Critical Privilege Escalation Vulnerability
2024/04/01 SecurityOnline — Octopus Deploy がリリースしたのは、深刻な脆弱性 CVE-2024-2975 に対処するための、セキュリティ・アドバイザリとパッチである。この人気のデプロイメント自動化プラットフォームの欠陥により、攻撃者は特定の設定下で権限の昇格が可能となり、影響を受けるシステムを不正に制御される恐れが生じる。
脆弱性の詳細
この脆弱性 CVE-2024-2975 (CVSS:8.8) は、Octopus Server 内の競合状態に起因するものである。この脆弱性の悪用に成功した非特権ユーザーは、対象となるソフトウェア内でアクセス権の昇格が可能となり、特権的なアクションの実行や、機密情報の取得などが引き起こされる恐れがある。
影響を受けるバージョン
この脆弱性は、以下のように Octopus Server の広範なバージョンに影響する:
- 2023.4.8432 以前の全バージョン
- 2023.x.x の全バージョン
- 2024.1.x バージョン (2024.1.12087 以前)
- 2024.2.x バージョン (2024.2.2075 以前)
対策と推奨事項
Octopus Deploy が強く推奨するのは、可能な限り早急に。パッチが適用されたバージョンにアップグレードすることである:
- 理想的な解決策:2024.1.12087 以降にアップグレードする。
- 早急なアップデートが不可能な場合:既存のメジャー・リリース・シリーズの最新バージョンにアップグレードする。
| If you have a feature version… | …then upgrade to this version |
|---|---|
| 0.x.x, 1.x.x, 2.x.x, 3.x.x, 4.x.x | 2024.1.12087 or greater |
| 2018.x, 2019.x, 2020.x, 2021.x, 2022.x | 2024.1.12087 or greater |
| 2023.1.x, 2023.2.x, 2023.3.x | 2024.1.12087 or greater |
| 2023.4.x | 2023.4.8432 or greater |
| 2024.1.x | 2024.1.12087 or greater |
Octopus Deploy が強く推奨するのは、この脆弱性に対処するため、最新バージョン (特に 2024.1.12087) へのアップグレードである。それぞれのバージョンを利用しているユーザーに対して、修正バージョンへの速やかなアップデートが推奨され、詳細なガイダンスが提供されている。なお、脆弱性 CVE-2024-2975 に対する緩和策は存在しないため、アップデートが極めて重要となる。言い換えるなら、アップグレードすることが、この脅威から環境を保護する唯一の方法である。
プロアクティブな発見と透明性
この脆弱性は、 jebi により発見された。詳細については、オリジナルの Octopus Deploy Security Advisory を参照してほしい。
Octopus Deploy について調べてみましたが、日本語のコンテンツは古いものばかりでした。英文としては、Everipedia の紹介文に、「Octopus Deploy は、自動化されたソフトウェアの導入およびリリースのための管理サーバである。 ASP.NET アプリケーションおよび、Windows サービス、データベースのデプロイメントを簡素化するよう設計されている。 Octopus Deploy は、オンプレミスまたはクラウド内のサーバに、アプリケーションを安全にデプロイするために使用される」と記されていました。よろしければ、CI/CD で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.