⚠️

InSpec に重大な脆弱性 – CVE-2023-42658

2023/11/10に公開

InSpec CLI に重大な脆弱性があることがアナウンスされています。(公式アナウンスリンク)
脆弱性の内容、対処方法、Fix バージョンについて説明します。

CVE-2023-42658

公式 CVE リンク:
https://nvd.nist.gov/vuln/detail/CVE-2023-42658
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-42658
重大な脆弱性として報告されており、早急な対処が必要であることがわかります。

影響範囲

InSpec CLI の archive check export コマンド実行時に、InSpec テストコードに悪意のある Ruby コードが実行されてしまう危険性があると説明されています。特に CI/CD パイプラインの中で InSpec がテストとして組み込まれている場合は、特に注意する必要があります。知らぬ間に、意図しない Ruby コードが実行されてしまう危険性があります。

さらに詳しくは、以下の技術ブログで説明されていました。

https://www.chef-sec.com/?p=405

Discussion