セキュリティに関する公開情報

ここでは、Migrate to Containers に関連する、すべてのセキュリティに関する公開情報について説明します。

最新のセキュリティに関する公開情報を取得するには、次のいずれかを行います。

このページの URL をフィードリーダーに追加する
フィードの URL（https://cloud.google.com/migrate-to-containers-security-bulletins.xml）をフィードリーダーに直接追加する

GCP-2024-058

公開日: 2024 年 10 月 16 日

説明重大度注

説明	重大度	注
Windows 用 Migrate to Containers のバージョン 1.1.0～1.2.2 では、管理者権限を持つローカル `m2cuser` が作成されました。このため、`analyze` または `generate` コマンドをユーザーが中断した場合や、内部エラーが原因でローカルユーザー `m2cuser` を削除する操作がスキップされた場合に、セキュリティリスクが発生していました。必要な対策次のバージョンの Windows 用 Migrate to Containers CLI は更新されており、この脆弱性を修正するためのコードが追加されています。Migrate to Containers CLI を以下のバージョン以降に手動でアップグレードすることをおすすめします。 2024 年 10 月 8 日にリリースされた Windows 用 Migrate to Containers CLI 1.2.3 - Migrate to Containers CLI リリースノート \| Google Cloud 対処されている脆弱性この脆弱性（CVE-2024-9858）により、攻撃者は Migrate to Containers ソフトウェアによって作成されたローカル管理者ユーザーを使用して、影響を受ける Windows マシンへの管理者アクセス権を取得できます。	中	CVE-2024-9858

Windows 用 Migrate to Containers のバージョン 1.1.0～1.2.2 では、管理者権限を持つローカル m2cuser が作成されました。このため、analyze または generate コマンドをユーザーが中断した場合や、内部エラーが原因でローカルユーザー m2cuser を削除する操作がスキップされた場合に、セキュリティリスクが発生していました。

必要な対策

次のバージョンの Windows 用 Migrate to Containers CLI は更新されており、この脆弱性を修正するためのコードが追加されています。Migrate to Containers CLI を以下のバージョン以降に手動でアップグレードすることをおすすめします。

2024 年 10 月 8 日にリリースされた Windows 用 Migrate to Containers CLI 1.2.3 - Migrate to Containers CLI リリースノート | Google Cloud

対処されている脆弱性

この脆弱性（CVE-2024-9858）により、攻撃者は Migrate to Containers ソフトウェアによって作成されたローカル管理者ユーザーを使用して、影響を受ける Windows マシンへの管理者アクセス権を取得できます。

中

CVE-2024-9858