| タイトル | DIRAC ProjectのDIRACにおける誤った領域へのリソースの漏えいに関する脆弱性 |
|---|---|
| 概要 | DIRACは分散コンピューティング向けのソフトウェアフレームワークであるインタウェアです。バージョン8.0.41以前では、プロキシ生成プロセス中(例:`dirac-proxy-init`の使用時)に、同一マシン上の許可されていないユーザーがプロキシへ読み取りアクセスを取得できる場合があります。その結果、元のプロキシで可能な操作をそのユーザーが実行できるようになります。この脆弱性は、プロキシ生成プロセスの非常に短い期間(サブミリ秒程度)だけ発生します。バージョン8.0.41でこの問題に対する修正パッチが適用されています。回避策としては、`X509_USER_PROXY`環境変数を現在のユーザーだけが読み取れるディレクトリ内のパスに設定することで、リスクを回避できます。ファイル書き込み後は、標準の場所(`/tmp/x509up_uNNNN`)に安全にコピーできます。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2024年4月9日0:00 |
| 登録日 | 2026年1月7日18:27 |
| 最終更新日 | 2026年1月7日18:27 |
| CVSS3.0 : 警告 | |
| スコア | 5.5 |
|---|---|
| ベクター | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| DIRAC Project |
| DIRAC 8.0.41 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年01月07日] 掲載 |
2026年1月7日18:27 |
| 概要 | DIRAC is an interware, meaning a software framework for distributed computing. Prior to version 8.0.41, during the proxy generation process (e.g., when using `dirac-proxy-init`), it is possible for unauthorized users on the same machine to gain read access to the proxy. This allows the user to then perform any action that is possible with the original proxy. This vulnerability only exists for a short period of time (sub-millsecond) during the generation process. Version 8.0.41 contains a patch for the issue. As a workaround, setting the `X509_USER_PROXY` environment variable to a path that is inside a directory that is only readable to the current user avoids the potential risk. After the file has been written, it can be safely copied to the standard location (`/tmp/x509up_uNNNN`). |
|---|---|
| 公表日 | 2024年4月10日2:16 |
| 登録日 | 2024年4月10日10:01 |
| 最終更新日 | 2024年11月21日18:08 |