重要情報 脆弱性説明 CVE番号: CVE-2024-7923 公開日: 2024年9月4日 最終更新日: 2024年9月4日 深刻度: 承認済み 影響: PulpcoreとGunicornのバージョン22.0以前の構成により、認証回避の脆弱性が発生します。 脆弱性の影響 対象となるSatellite展開バージョン: 6.13、6.14、6.15 対象となるPulpcoreバージョン: 3.0以降 潜在的な影響: 未承認のユーザーが管理者アクセス権限を取得する可能性があります。 脆弱性の悪用 悪用方法: Apacheのmod_proxyがHTTPヘッダー内のアンダースコアを正しく除去しないため、不正なヘッダーを使用して認証を回避できます。 デモ デモ方法: 特定の要求ヘッダーを使用して認証を回避します。 脆弱性の修正 修正: この脆弱性を修正するパッチがリリースされています。 CVSSスコア CVSS v3 ベーススコア: 9.8 CVSS v3 ベクター: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H よくある質問 質問: なぜRed HatのCVSS v3スコアが他のベンダーと異なるのですか? 質問: 製品が「調査中」または「影響あり」としてリストされていますが、Red Hatはいつ修正パッチをリリースしますか? 質問: 製品が「修正不可」としてリストされている場合、どうすればよいですか? 質問: 緩和策とは何ですか? 質問: Red Hat製品を持っていますが、上記のリストに含まれていません。この製品は影響を受けますか? 質問: 製品のバージョンは修正済みまたは影響を受けないはずですが、なぜセキュリティスキャナーはこの脆弱性による影響を報告するのですか? その他の情報 出典: CVE-2024-7923 外部参照: CVE-2024-7923 対象パッケージおよびRed Hatセキュリティパッチ: この脆弱性を修正するパッチがリリースされています。 まとめ 本脆弱性は、PulpcoreとGunicornのバージョン22.0以前の構成に影響を与える認証回避の脆弱性です。対象となるSatellite展開バージョンは6.13、6.14、6.15、対象となるPulpcoreバージョンは3.0以降です。悪用方法は、Apacheのmod_proxyがHTTPヘッダー内のアンダースコアを正しく除去しない点を利用することです。本脆弱性を修正するパッチがリリースされています。