CVE-2024-37084 (CVSS 9.8): Remote code execution in Spring Cloud Data Flow
2024/07/25 SecurityOnline — Cloud Foundry と Kubernetes 環境でマイクロサービス・ベースとして使用される、ストリーミング/バッチデータの処理プラットフォーム Spring Cloud Data Flow の、脆弱性 CVE-2024-37084 (CVSS:9.8) に関するセキュリティ・アドバイザリが公開された。
この脆弱性 CVE-2024-37084 は、Spring Cloud Data Flow の Skipper Server コンポーネントに存在するものだ。Skipper Server は、アップロード・パッケージ・リクエストを処理するように設計されているが、アップロードパスのサニタイズが不適切なため、Skipper Server API にアクセスできる攻撃者であればが、この欠陥を悪用できる可能性が生じる。悪意のアップロード・リクエストを作成することで、攻撃者はファイル・システム上の任意の場所に、任意のファイルの書き込みが可能になる。この手口により、サーバの完全な侵害が引き起こされる可能性がある。
Skipper Server API は、外部ユーザーには公開されていないため、この脆弱性が悪用される可能性が低いことに注意することも重要だ。それであっても、API にアクセスできる内部ユーザーに関してはリスクが残る。
この脆弱性は、Spring Cloud Data Flow の 2.11.4 未満に影響する。これらのバージョンで動作しているユーザーは、潜在的な脅威を軽減するために、パッチが適用された 2.11.4 にアップグレードする必要がある。
Spring Cloud Data Flow 2.11.4 には、Skipper Server における不適切なサニタイズの問題を修正するために必要なパッチが含まれており、任意のファイル書き込みのリスクを効果的に排除している。
2.11.4 の主な変更点
- タスク実行をより効率的にリストアップするために使用される
tasks/thinexecutions- スケジュール作成時に、ユーザがアプリのバージョンを指定できるようにした。
- CVE のバージョンと緩和策を更新した。
- CVE-2024-37084 Skipper のリモート コード実行のリスクが軽減された。
- PRISMA-2023-0067 Jackson 2.17.1
文中では、この脆弱性 CVE-2024-37084 の悪用の可能性は低いと指摘されていますが、インサイダーには Skipper Server API が公開されている可能性があるので、ご利用のチームは、ご注意ください。前回の Spring Cloud 関連の記事は、2024/05/29 の「Spring Cloud の脆弱性 CVE-2024-22263 が FIX:サーバ乗っ取りが生じる恐れ」となっています。よろしければ、mご参照ください。
IoT OT Security News 
You must be logged in to post a comment.