NVD脆弱性詳細

CVE-2021-3602

概要	An information disclosure flaw was found in Buildah, when building containers using chroot isolation. Running processes in container builds (e.g. Dockerfile RUN commands) can access environment variables from parent and grandparent processes. When run in a container in a CI/CD environment, environment variables may include sensitive information that was shared with the container in order to be used only by Buildah itself (e.g. container registry credentials).
公表日	2022年3月4日4:15
登録日	2022年3月4日10:00
最終更新日	2024年11月21日15:21

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:buildah_project:buildah::::::::	1.21.0			1.21.3
cpe:2.3:a:buildah_project:buildah::::::::	1.19.0			1.19.9
cpe:2.3:a:buildah_project:buildah::::::::	1.17.0			1.17.2
cpe:2.3:a:buildah_project:buildah::::::::				1.16.8

構成2	以上	以下	より上	未満
cpe:2.3:o:redhat:enterprise_linux:8.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian:8.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems:8.0:::::::*

関連情報、対策とツール

No	URL	タグ
1	https://bugzilla.redhat.com/show_bug.cgi?id=1969264	Issue Tracking Patch Third Party Advisory
2	https://bugzilla.redhat.com/show_bug.cgi?id=1969264	Issue Tracking Patch Third Party Advisory
3	https://github.com/containers/buildah/commit/a468ce0ffd347035d53ee0e26c205ef604097fb0	Patch Third Party Advisory
4	https://github.com/containers/buildah/commit/a468ce0ffd347035d53ee0e26c205ef604097fb0	Patch Third Party Advisory
5	https://github.com/containers/buildah/security/advisories/GHSA-7638-r9r3-rmjj	Third Party Advisory
6	https://github.com/containers/buildah/security/advisories/GHSA-7638-r9r3-rmjj	Third Party Advisory
7	https://ubuntu.com/security/CVE-2021-3602	Patch Third Party Advisory
8	https://ubuntu.com/security/CVE-2021-3602	Patch Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-212	保存または転送前の重要な情報の不適切な削除	https://cwe.mitre.org/data/definitions/212.html

JVN脆弱性情報

Buildah project の Buildah 他複数ベンダの製品における保存または転送前の重要な情報の削除に関する脆弱性

タイトル	Buildah project の Buildah 他複数ベンダの製品における保存または転送前の重要な情報の削除に関する脆弱性
概要	Buildah project の Buildah 他複数ベンダの製品には、保存または転送前の重要な情報の削除に関する脆弱性が存在します。
想定される影響	情報を取得される可能性があります。
対策	参考情報を参照して適切な対策を実施してください。
公表日	2021年6月15日0:00
登録日	2023年7月4日17:36
最終更新日	2023年7月4日17:36

影響を受けるシステム

Buildah project

Buildah 1.16.8 未満

Buildah 1.17.0 以上 1.17.2 未満

Buildah 1.19.0 以上 1.19.9 未満

Buildah 1.21.0 以上 1.21.3 未満

レッドハット

Red Hat Enterprise Linux 8.0

Red Hat Enterprise Linux for IBM z Systems 8.0

Red Hat Enterprise Linux for Power, little endian 8.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-3602	https://www.cve.org/CVERecord?id=CVE-2021-3602
National Vulnerability Database (NVD)
2	CVE-2021-3602	https://nvd.nist.gov/vuln/detail/CVE-2021-3602

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-212	https://cwe.mitre.org/data/definitions/212.html

その他

No	名前	URL
関連文書
1	bugzilla.redhat.com (1969264)	https://bugzilla.redhat.com/show_bug.cgi?id=1969264
2	github.com (a468ce0ffd347035d53ee0e26c205ef604097fb0)	https://github.com/containers/buildah/commit/a468ce0ffd347035d53ee0e26c205ef604097fb0
3	github.com (GHSA-7638-r9r3-rmjj)	https://github.com/containers/buildah/security/advisories/GHSA-7638-r9r3-rmjj
4	ubuntu.com (CVE-2021-3602)	https://ubuntu.com/security/CVE-2021-3602

変更履歴

No	変更内容	変更日
1	[2023年07月04日] 掲載	2023年7月4日17:36