| タイトル | Aqua SecurityのTrivyにおける複数の脆弱性 |
|---|---|
| 概要 | Trivyはセキュリティスキャナーです。バージョン0.71.0以前のTrivyでは、Helmチャートのアーカイブファイル(.tgz)をスキャンする際に、独自のtar解凍機能がio.ReadAll(tr)を使用してエントリをサイズ制限なく読み取っていました。悪意のある.tgzファイルをスキャン対象のパスに配置できる攻撃者は、小さな圧縮アーカイブを作成し、展開時にギガバイト単位の大容量に膨らませることが可能です。その結果、TrivyプロセスがOSのOOMキラーによって強制終了される可能性があります。この脆弱性はバージョン0.71.0で修正されています。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月25日0:00 |
| 登録日 | 2026年6月29日11:11 |
| 最終更新日 | 2026年6月29日11:11 |
| CVSS3.0 : 警告 | |
| スコア | 6.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Aqua Security |
| Trivy 0.71.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
2026年6月29日11:11 |
| 概要 | Trivy is a security scanner. Prior to 0.71.0, when Trivy scans a Helm chart archive (.tgz), its custom tar unpacker reads each entry with io.ReadAll(tr) and no size limit. An attacker who can place a malicious .tgz file in the scanned path can craft a small compressed archive that decompresses to gigabytes, causing the Trivy process to be killed by the OS OOM killer. This vulnerability is fixed in 0.71.0. |
|---|---|
| 公表日 | 2026年6月26日2:16 |
| 登録日 | 2026年6月27日4:29 |
| 最終更新日 | 2026年6月27日4:27 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:aquasec:trivy:*:*:*:*:*:go:*:* | 0.71.0 | ||||