| Title | HashiCorp Nomadのアーカイブ展開処理における任意ファイル書き込みの脆弱性 |
|---|---|
| Summary | HashiCorp NomadおよびNomad Enterpriseのバージョン0.6.1から1.6.13、1.7.10、1.8.2までには、複数のアーカイブヘッダーが同じファイルを対象とする場合、アロケーションディレクトリのマイグレーション中にアーカイブ展開処理がアロケーションディレクトリ外への書き込みを引き起こす脆弱性が存在します。この問題は、Nomad 1.6.14、1.7.11、1.8.3で修正されています。悪用するためには、まずソースアロケーションのNomadクライアントエージェントへのアクセス権限を取得または侵害する必要があります。 |
| Possible impacts | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Aug. 15, 2024, midnight |
| Registration Date | Jan. 6, 2026, 2:44 p.m. |
| Last Update | Jan. 6, 2026, 2:44 p.m. |
| CVSS3.0 : 警告 | |
| Score | 5.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:C/C:N/I:H/A:N |
| HashiCorp |
| Nomad 0.6.1 以上 1.6.14 未満 |
| Nomad 1.7.0 以上 1.7.11 未満 |
| Nomad 1.8.0 から 1.8.3 |
| Nomad 1.8.0 以上 1.8.3 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年01月06日] 掲載 |
Jan. 6, 2026, 2:44 p.m. |
| Summary | In HashiCorp Nomad and Nomad Enterprise from 0.6.1 up to 1.6.13, 1.7.10, and 1.8.2, the archive unpacking process is vulnerable to writes outside the allocation directory during migration of allocation directories when multiple archive headers target the same file. This vulnerability, CVE-2024-7625, is fixed in Nomad 1.6.14, 1.7.11, and 1.8.3. Access or compromise of the Nomad client agent at the source allocation first is a prerequisite for leveraging this vulnerability. |
|---|---|
| Publication Date | Aug. 15, 2024, 9:15 a.m. |
| Registration Date | Sept. 26, 2024, 5:08 a.m. |
| Last Update | Sept. 26, 2024, 1:15 a.m. |