Hashicorp, 11 Haziran 2025’te Nomad iş yükü düzenleme aracında kritik bir güvenlik kusurunu (CVE-2025-4922) açıkladı ve kümeleri uygunsuz ACL politika uygulamasıyla ayrıcalıklı artış riskleri için maruz bıraktı.
8.1 CVSS olarak derecelendirilen güvenlik açığı, saldırganların stratejik iş adlandırma sözleşmeleri yoluyla ad alanı kısıtlamalarını atlamalarını sağlar.
Teknik analiz
Nomad’ın Erişim Kontrol Listesi (ACL) sistemi, işten politika çözünürlüğü için önek tabanlı eşleştirme kullanır.
.png
)
Bu, kısmen eşleşen isimlere sahip işlerin mevcut girişlerden politikaları devralmasına izin verir.
Örneğin
textnamespace "prod-database" {
policy = "write"
capabilities = ["alloc-exec"]
}
Kötü niyetli bir aktör yaratabilir prod-database-backup miras almak için write Açık izinlerden yoksun olmasına rağmen politika.
İstismar senaryosu
- Saldırgan ayrıcalıklı işi tanımlar
secure-payrollilenamespace "finance" { policy = "write" } - Yeni bir iş yaratır
secure-payroll-audit - Nomad yanlışlıkla uygulanır
financeYetkisiz işler için politikalar
Etkilenen sürümler
| Ürün hattı | Savunmasız versiyonlar | Yamalı versiyonlar |
|---|---|---|
| Göçebe topluluk | 1.4.0 ≤ V ≤ 1.10.1 | 1.10.2 |
| Göçebe işletme | 1.4.0 ≤ V ≤ 1.10.1 | 1.10.2 |
| 1.9.0 ≤ V ≤ 1.9.9 | 1.9.10 | |
| 1.8.0 ≤ V ≤ 1.8.13 | 1.8.14 |
- Anında yükseltme bash
# Community Edition nomad version | grep 'Nomad v1.10.1' && \ curl -O https://releases.hashicorp.com/nomad/1.10.2/nomad_1.10.2_linux_amd64.zip # Enterprise Edition hashicorp-support login && \ hc-releases get nomad-enterprise 1.10.2 - Politika Denetimi
Tüm ad alanlarını inceleyin: metinnamespace "*" { policy = "write" } // Wildcard policies increase risk - Kesin eşleşme kurallarını kullanarak en az privilege erişimini uygulayın: metin
namespace "prod-api" { policy = "read" variables { path "credentials/*" { capabilities = ["deny"] } } }
Güvenlik etkileri
Bu güvenlik açığı:
- Ayrıcalık artışı: Korumalı ad alanlarında yetkisiz iş yürütme
- Politika Gölgelendirme: Önek çarpışmalar yoluyla kuralları reddetme kurallarını geçersiz kılın
- Veri Defiltrasyonu: Paylaşılan ad alanlarındaki hassas değişkenlere erişim
Hashicorp’un dahili güvenlik ekibi, rutin kod denetimleri sırasında kusuru aktif sömürü kanıtı olmadan tanımladı.
ACL’lerle çok kiracılı göçebe konuşlandırmalar kullanan kuruluşlar, saldırı vektörünün düşük karmaşıklığı ve yüksek potansiyel etkisi göz önüne alındığında yamaya öncelik vermelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin