CVE-2024-39700 (CVSS 9.9): Severe Flaw in JupyterLab Template Discovered
2024/07/24 SecurityOnline — 広く使用されている JupyterLab の拡張テンプレートに、重大な脆弱性 CVE-2024-39700 が発見された。この脆弱性の悪用に成功した攻撃者は、標的システム上でリモート・コード実行が可能となり、広範囲に及ぶ侵害やデータ漏洩を引き起こす可能性を手にする。
この脆弱性は、拡張機能の作成プロセスで “test” オプションが選択されると、ワークフロー・ファイル “update-integration-tests.yml” が自動的に生成されることに起因する。このワークフロー・ファイルは、テストを容易にするために設計されたものだが、残念ながら、JupyterLab 拡張機能をホストする基本システムを不正に制御するため、攻撃者に悪用されるという弱点を取り込んでいる。
GitHub は、この脆弱性 CVE-2024-39700 を CVSSv3.1 スコア 9.9 と評価している。それが強調するのは、リスクを軽減するために、ユーザーは直ちに行動を起こす必要があるという指摘である。
脆弱なテンプレートを使用して JupyterLab 拡張機能を作成し、そのコードを GitHub で公開している開発者が、脆弱性 CVE-2024-39700 に対して最も脆弱だ。この脆弱性の悪用に成功した攻撃者は、悪意のコードの注入/機密データの窃取/業務の妨害などを行う可能性を手にする。
潜在的な悪用から身を守るために、開発者に強く推奨されるのは、以下の手順に従うことだ:
- 更新:JupyterLab 拡張テンプレートの最新バージョンへと、ただちにアップグレードする。
- 上書きする:“update-integration-tests.yml” ファイルを、更新されたテンプレートで提供されるバージョンに置き換える。カスタマイズを慎重に再適用する。
- 一時的に無効化する:アップデートが完了するまで、GitHub Actions を無効化する。
- リベースする:信頼できないソースからのオープンなプルリクエストを全てリベースして、セキュリティ修正を組み込むようにする。
このテンプレートのバージョン4.3.0 未満からアップグレードする開発者は、リリースのワークフローで追加の設定調整が必要になる可能性があることに注意してほしい。
JupyterLab につて調べてみたところ、「ノートブック/コード/データ用の最新の Web ベースのインタラクティブ開発環境である。柔軟なインターフェイスを介して、データサイエンス/科学計算/計算ジャーナリズム/機械学習のワークフローを構成/調整できる。モジュール設計が施されているため、拡張機能を使用して機能を拡張/強化できる」と解説されていました。なかなか面白そうで、これを使ってなにかできないかと、考えたくなります。この脆弱性は、深刻度が高いので、ご利用のチームは、十分に ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.