| タイトル | tigeraのCalicoにおけるログファイルからの情報漏えいに関する脆弱性 |
|---|---|
| 概要 | CalicoがAzure IPAMプラグインと構成されている場合、Calico CNIバイナリはIPAMプラグインに委譲する前に着信CNI構成を変更し、サブネット情報を付加します。変更後、Azure IPAMヘルパーはすべてのCNI ADDおよびDEL呼び出し時に(ノード上でスケジュールまたは終了した各ポッドごとに一度)、アンマーシャルされた構成マップ(stdinData)全体をINFOレベルで/var/log/calico/cni/cni.logにログ記録します。クラスターがトークンベースのKubernetes認証でデプロイされている場合、このログエントリにはServiceAccountトークン、クライアントキー、および証明書認証局がプレーンテキストで含まれます。ノードの/var/log/calico/cni/cni.logへの読み取り権限を持つ任意の主体はこれらのログを読み取り、クラスタ全体のCalicoネットワーキング管理者権限を付与するための資格情報を抽出できます。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月28日0:00 |
| 登録日 | 2026年6月8日12:28 |
| 最終更新日 | 2026年6月8日12:28 |
| CVSS3.0 : 警告 | |
| スコア | 6.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| tigera |
| Calico 22.4.0 未満 |
| Calico 3.21.7 未満 |
| Calico 3.22.0 以上 3.22.3 未満 |
| Calico 3.32.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月08日] 掲載 |
2026年6月8日12:28 |
| 概要 | When Calico is configured with the Azure IPAM plugin, the Calico CNI binary mutates the incoming CNI configuration to attach subnet information before delegating to the IPAM plugin. After mutating, the Azure IPAM helper logs the entire unmarshaled configuration map (stdinData) at INFO level to /var/log/calico/cni/cni.log on every CNI ADD and DEL invocation — once per pod scheduled or terminated on the node. When the cluster is deployed using token-based Kubernetes authentication, this log entry contains the ServiceAccount token, client key, and certificate authority in plaintext. Any principal with read access to /var/log/calico/cni/cni.log on a node can read these logs and extract the credentials, which grant cluster-wide Calico networking admin privileges. |
|---|---|
| 公表日 | 2026年5月29日2:16 |
| 登録日 | 2026年5月29日4:15 |
| 最終更新日 | 2026年5月29日3:55 |