HTTP プロキシーが使用されている環境の RHACM および MCE コンソールコンポーネントに影響を及ぼす重大なセキュリティー上の不具合

Issue

• vm2 で、コンポーネントが非同期エラーを適切に処理しないという不具合が発見されました。 この不具合により、認証されていないリモートの攻撃者がサンドボックスの制限を回避し、ホストでコードを実行することが可能になります。 (CVE-2023-29017)

• vm2 サンドボックスに不具合が見つかりました。 例外処理がトリガーされると、サニタイズロジックが適切な例外処理で管理されません。 この問題により、攻撃者がサンドボックス保護をバイパスし、ハイパーバイザーホストまたはサンドボックスを実行しているホスト上でコードをリモート実行する可能性があります。 (CVE-2023-29199)

• vm2 サンドボックスに不具合が見つかりました。 例外処理がトリガーされると、サニタイズされていないホストが適切に管理されません。 この問題により、攻撃者がサンドボックス保護をバイパスし、ハイパーバイザーホストまたはサンドボックスを実行しているホスト上でコードをリモート実行する可能性があります。 (CVE-2023-30547)

• これらの問題は、RHACM のコンソールコンポーネントとハブクラスターの基盤となる MCE に影響し、(Openshift クラスターレベルか、ハブの RHACM または MCE レベルで設定された) HTTP プロキシーが使用されている環境にリスクをもたらします。 RHACM によってマネージドクラスターとして管理されているクラスターは影響を受けません。