セキュリティに関する公開情報

ここでは、Migrate to Containers に関連する、すべてのセキュリティに関する公開情報について説明します。

最新のセキュリティに関する公開情報を取得するには、次のいずれかを行います。

  • このページの URL をフィード リーダーに追加する
  • フィードの URL(https://cloud.google.com/migrate-to-containers-security-bulletins.xml)をフィード リーダーに直接追加する

GCP-2024-058

公開日: 2024 年 10 月 16 日
説明 重大度

Windows 用 Migrate to Containers のバージョン 1.1.0~1.2.2 では、管理者権限を持つローカル m2cuser が作成されました。このため、analyze または generate コマンドをユーザーが中断した場合や、内部エラーが原因でローカル ユーザー m2cuser を削除する操作がスキップされた場合に、セキュリティ リスクが発生していました。

必要な対策

次のバージョンの Windows 用 Migrate to Containers CLI は更新されており、この脆弱性を修正するためのコードが追加されています。Migrate to Containers CLI を以下のバージョン以降に手動でアップグレードすることをおすすめします。

対処されている脆弱性

この脆弱性(CVE-2024-9858)により、攻撃者は Migrate to Containers ソフトウェアによって作成されたローカル管理者ユーザーを使用して、影響を受ける Windows マシンへの管理者アクセス権を取得できます。

CVE-2024-9858