Backstage の深刻なセキュリティの脆弱性, CNCF 培養, Spotify によるオープンソース プロジェクト, 最近開示された. この脆弱性により、 リモートコード実行 サードパーティ製モジュールの別の問題による攻撃. この問題, CVE-2022-36067 として知られる, vm2 の重要なサンドボックス エスケープです, 有名な JavaScript サンドボックス ライブラリ.
CVE-2022-36067 と Spotify の Backstage 脆弱性への接続
何ですか 公式説明 CVE-2022-36067 の? 「vm2 は、ホワイトリストに登録された Node の組み込みモジュールを使用して、信頼されていないコードを実行できるサンドボックスです。. バージョンより前のバージョンでは 3.9.11, 攻撃者は、サンドボックス保護をバイパスして、サンドボックスを実行しているホストでリモート コード実行権限を取得できます。,」 国家脆弱性データベースによると.
バージョンのリリースで CVE-2022-36067 にパッチが適用されました 3.9.11 vm2 の, 既知の回避策なし.
Spotify の Backstage 脆弱性について? Oxeyeの研究チームが発見, この脆弱性は、vm2 サードパーティ ライブラリを介した VM サンドボックス エスケープを利用します。. その影響の観点から, この脆弱性は、認証されていない攻撃者によって悪用され、Scaffolder コア プラグインの vm2 サンドボックス エスケープを利用して Backstage アプリケーションで任意のコマンドを実行する可能性があります。.
Backstage は Spotify によるオープンソースの開発者ポータルで、統一されたフロント ドアからソフトウェア コンポーネントを作成および管理できます。. 他にも多くの企業が Backstage を使用していることは注目に値します, ExpediaやNetflixなどの名前を含む. 研究者は、この欠陥は Backstage 内でコンポーネントを作成する「ソフトウェア テンプレート」と呼ばれるツールに起因すると述べています。.
Oxeye は 8 月に責任ある開示を行いました 18 2022, この問題は Backstage バージョンのプロジェクト管理者によって修正されました 1.5.1 直後に. 組織で Backstage を使用している場合, チームは、最新バージョンに更新することを強くお勧めします. “さらに, アプリケーションでテンプレート エンジンを使用している場合, セキュリティに関して正しいものを選択してください. 堅牢なテンプレート エンジンは非常に便利ですが、組織にリスクをもたらす可能性があります,” 会社 追加した.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: