InSpec CLI に重大な脆弱性があることがアナウンスされています。(公式アナウンスリンク)
脆弱性の内容、対処方法、Fix バージョンについて説明します。
CVE-2023-42658
公式 CVE リンク:
https://nvd.nist.gov/vuln/detail/CVE-2023-42658
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-42658
重大な脆弱性として報告されており、早急な対処が必要であることがわかります。
影響範囲
InSpec CLI の archive check export コマンド実行時に、InSpec テストコード内の悪意のある Ruby コードが実行されてしまう危険性があります。特に CI/CD パイプラインの中で InSpec がテストとして組み込まれている場合は、特に注意する必要があります。知らぬ間に、意図しない Ruby コードが実行されてしまう危険性があります。
Chef Infra Client (chef-client)の最新機能である Compliance Phase でもInSpec は実行されますが、こちらへの影響はありません。Compliance Phase の InSpec CLI は、 archive check export を使用しないためです。
改修バージョン
・Chef InSpec < 4.0 (EOLのため改修されません。)
・Chef InSpec > 4.0, < 4.56.20 (バージョン 4.56.58 で改修済み リリースノート)
・Chef InSpec > 5.0, < 5.22.3 (バージョン 5.22.29 で改修済み リリースノート)
・Chef Workstation <= 23.7.1042 (未改修、改修バージョンは未定)
上記の通り、バージョンが 4.56.58 と 5.22.29 よりも前の InSpec が影響を受けます。改修済みのバージョンが既にリリースされており、改修バージョンへのアップデートが推奨されています。
未改修Chefプロダクト
InSpec CLI は、Chef Workstation パッケージにもバンドルされています。Chef Workstation の改修バージョンはまだリリースされていないため、Chef Workstation がインストールされている環境で InSpec CLI を使用するのは控える必要があります。
