Last Updated on 2024-07-04 04:56 by admin
複数の重大なセキュリティ欠陥がJudge0オープンソースオンラインコード実行システムにおいて公開され、これらの欠陥を悪用することで対象システム上でのコード実行が可能になることが明らかにされた。オーストラリアのサイバーセキュリティ会社Tanto Securityによる報告によると、これらの欠陥は攻撃者がサンドボックスを脱出し、ホストマシン上でroot権限を取得することを可能にする。Judge0は、オンラインコード実行機能を必要とするアプリケーションの構築に使用できる「堅牢でスケーラブルなオープンソースオンラインコード実行システム」としてメンテナンスされている。
2024年3月にDaniel Cooperによって発見され報告された欠陥は以下の通りである。CVE-2024-28185(CVSSスコア: 10.0)は、サンドボックスディレクトリ内に配置されたシンボリックリンク(symlink)を考慮していないため、攻撃者が任意のファイルに書き込み、サンドボックス外でのコード実行を実現できる。CVE-2024-28189(CVSSスコア: 10.0)は、CVE-2024-28185のパッチを回避するもので、サンドボックス内の信頼できないファイルにUNIXのchownコマンドを使用することから生じる。攻撃者はこれを悪用して、サンドボックス外のファイルへのシンボリックリンクを作成し、サンドボックス外の任意のファイルにchownを実行できる。CVE-2024-29021(CVSSスコア: 9.1)は、Judge0のデフォルト設定がサーバーサイドリクエストフォージェリ(SSRF)を介したサンドボックス脱出に対して脆弱であるため、攻撃者がJudge0 APIへの十分なアクセスを利用して、対象マシン上でrootとしての非サンドボックスコード実行を実現できる。
これらの問題は、2024年4月18日にリリースされたバージョン1.13.1で対処された。Judge0のユーザーには、潜在的な脅威を軽減するために最新バージョンへの更新が推奨される。
【ニュース解説】
Judge0オープンソースオンラインコード実行システムにおいて、複数の重大なセキュリティ欠陥が発見されました。これらの欠陥を悪用することで、攻撃者は対象システム上でコード実行を行い、最終的にはシステム全体を乗っ取る可能性があることがオーストラリアのサイバーセキュリティ会社Tanto Securityによって報告されました。これらの脆弱性は、オンラインでコードを実行する機能を提供するJudge0システムにおいて、特に深刻な問題を引き起こします。
具体的には、3つの脆弱性が指摘されています。最初のCVE-2024-28185とCVE-2024-28189は、サンドボックス内に配置されたシンボリックリンクを通じて、攻撃者がサンドボックス外の任意のファイルに書き込み、コード実行を可能にするものです。これにより、攻撃者はシステム上でより高い権限を得ることができます。3つ目のCVE-2024-29021は、サーバーサイドリクエストフォージェリ(SSRF)を利用して、攻撃者がroot権限でコードを実行できるようにするものです。
これらの脆弱性の存在は、オンラインコード実行システムを利用する企業や教育機関にとって大きなリスクをもたらします。特に、候補者評価、eラーニング、オンラインコードエディタやIDEなど、Judge0を利用しているサービスは、攻撃者によるデータ漏洩やシステム乗っ取りの危険にさらされます。
しかし、これらの問題は、Judge0の開発チームによって迅速に対処され、バージョン1.13.1で修正されました。Judge0のユーザーは、これらの脆弱性を修正するために、システムを最新バージョンに更新することが強く推奨されます。
この事例は、オープンソースソフトウェアのセキュリティがいかに重要であるかを示しています。開発者や企業は、セキュリティ脆弱性に迅速に対応し、定期的なアップデートを行うことで、システムの安全性を保つ必要があります。また、このような脆弱性が発見された場合、責任を持って公開し、コミュニティ全体のセキュリティ向上に貢献することが求められます。
長期的には、このようなセキュリティ問題の発見と修正は、より安全なオンライン環境の構築に貢献します。しかし、攻撃者は常に新たな攻撃手法を模索しているため、開発者とユーザー双方が警戒を怠らず、セキュリティ対策を継続的に更新し続けることが重要です。
from Sandbox Escape Vulnerabilities in Judge0 Expose Systems to Complete Takeover.
