| タイトル | HashiCorp Nomadのアーカイブ展開処理における任意ファイル書き込みの脆弱性 |
|---|---|
| 概要 | HashiCorp NomadおよびNomad Enterpriseのバージョン0.6.1から1.6.13、1.7.10、1.8.2までには、複数のアーカイブヘッダーが同じファイルを対象とする場合、アロケーションディレクトリのマイグレーション中にアーカイブ展開処理がアロケーションディレクトリ外への書き込みを引き起こす脆弱性が存在します。この問題は、Nomad 1.6.14、1.7.11、1.8.3で修正されています。悪用するためには、まずソースアロケーションのNomadクライアントエージェントへのアクセス権限を取得または侵害する必要があります。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2024年8月15日0:00 |
| 登録日 | 2026年1月6日14:44 |
| 最終更新日 | 2026年1月6日14:44 |
| CVSS3.0 : 警告 | |
| スコア | 5.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:C/C:N/I:H/A:N |
| HashiCorp |
| Nomad 0.6.1 以上 1.6.14 未満 |
| Nomad 1.7.0 以上 1.7.11 未満 |
| Nomad 1.8.0 から 1.8.3 |
| Nomad 1.8.0 以上 1.8.3 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年01月06日] 掲載 |
2026年1月6日14:44 |
| 概要 | In HashiCorp Nomad and Nomad Enterprise from 0.6.1 up to 1.6.13, 1.7.10, and 1.8.2, the archive unpacking process is vulnerable to writes outside the allocation directory during migration of allocation directories when multiple archive headers target the same file. This vulnerability, CVE-2024-7625, is fixed in Nomad 1.6.14, 1.7.11, and 1.8.3. Access or compromise of the Nomad client agent at the source allocation first is a prerequisite for leveraging this vulnerability. |
|---|---|
| 公表日 | 2024年8月15日9:15 |
| 登録日 | 2024年9月26日5:08 |
| 最終更新日 | 2024年9月26日1:15 |