SchedMD、セキュリティ問題に対処したSlurmの最新版をリリース

Doug Eadline オリジナル記事「SchedMD Releases Updated Slurm Version to Address Security Issues」

[slurm-announce]メーリングリストに投稿されたように、いくつかの重要なセキュリティ問題がすべてのSlurmユーザに影響する（あなたのシスアドに連絡してください）。通知より

Slurmバージョン23.11.1、23.02.7、22.05.11が利用可能になり、最近発見された多くのセキュリティ問題に対処している。これらにはCVE-2023-49933からCVE-2023-49938が割り当てられている。SchedMDの顧客には11月29日に通知され、要求に応じてパッチを提供した。このプロセスはセキュリティポリシーに文書化されている。 これらの問題に対して利用可能な緩和策はなく、影響を受けるデーモンにパッチを当てて再起動するしか方法がない。

問題の説明

5つの問題がライアン・ホール氏（メタ・レッドチームX）により報告された：

1) Slurmd メッセージ整合性バイパス。(Slurm 23.02 および 23.11)

CVE-2023-49935

攻撃者が slurmd プロセスとやりとりする際に root レベルの認証トークンを再利用することを許可し、悪意のある MUNGE クレデンシャルの再利用から保護する RPC メッセージハッシュをバイパスする。

2) Slurm による任意のファイルの上書き。(Slurm 22.05 および 23.02)

CVE-2023-49938

攻撃者が sbcast サブシステムで使用する拡張グループリストを変更し、 不正な拡張グループセットでファイルを開くことを許してしまう。

3) Slurm の NULL ポインタ参照。(Slurm 22.05、23.02、23.11)

CVE-2023-49936

サービス拒否。

4) Slurm プロトコル二重解放。(Slurm 22.05, 23.02, 23.11.)

CVE-2023-49937

サービス拒否、任意のコードが実行される可能性がある。

5) Slurm プロトコルメッセージ拡張。(Slurm 22.05, 23.02, 23.11.)

CVE-2023-49933

メッセージのハッシュチェックをバイパスする RPC トラフィックの悪意ある改変を可能にする。

SchedMD 内部で 6 番目の問題が発見さ れた：

6) SQLインジェクション。(Slurm 23.11.)

CVE-2023-49934

SlurmDBD の SQL データベースに対する任意の SQL インジェクション。

アップグレードが最良の選択

SchedMD はサポートされているリリース (現在 23.11、23.02、22.05) に対してのみセキュリティフィックスを発行する。これらの修正は複雑なため、古いリリースにバックポートすることは推奨していない。ダウンロードはhttps://www.schedmd.com/downloads.php。

リリースノートはアナウンスにある。