Kibanaに重大な脆弱性(CVE-2024-37288、CVE-2024-37285)
2024年9月6日 Elastic 社はKibanaに重大な脆弱性(CVE-2024-37288、CVE-2024-37285)が発生しており、直ちにアップデートを推奨しています。
目次
脆弱性の対象バージョン
以下のバージョンが対象になります。
脆弱性 CVE-2024-37288の対象バージョン
Kibanaのバージョン 8.15.0
脆弱性 CVE-2024-37285の対象バージョン
Kibana バージョン 8.10.0 から 8.15.0。
対策
Kibanaのバージョン 8.15.1 にアップグレード。
これで脆弱性 CVE-2024-37288とCVE-2024-37285の両方を修正可能です。
脆弱性のCVE-2024-37288の内容
CVSS スコア 9.9 (重大) とされる脆弱性です。
Kibana のデシリアライゼーションの問題により、細工されたペイロードを含む YAML ドキュメントを Kibana が解析しようとすると、任意のコードが実行される場合があります。
Elastic Security の組み込み AI ツール内で Amazon Bedrock コネクタを構成したユーザーは、特に脆弱です。
脆弱性のCVE-2024-37285の内容
YAML デシリアライゼーションに関連しており、より広範囲の Kibana ユーザーに影響を及ぼします。CVSS スコアは 9.1 (重大) で、特定の Elasticsearch インデックス権限と Kibana 権限を持つ攻撃者が任意のコードを実行できるようになります。
この脆弱性を悪用するには、悪意のある攻撃者が特定の Elasticsearch インデックス権限と Kibana 権限の組み合わせを持っている必要があります。
引用