Confira !!
Uma falha de autenticação foi encontrada no ceph. Quando o monitor lida com solicitações CEPHX_GET_AUTH_SESSION_KEY, ele não limpa outras_chaves, permitindo a reutilização de chaves. Um invasor que pode solicitar um global_id pode explorar a capacidade de qualquer usuário de solicitar um global_id previamente associado a outro usuário, já que o ceph não força a reutilização de chaves antigas para gerar novas
MGASA-2021-0207 - Pacotes ceph atualizados corrigem uma vulnerabilidade de segurança
Data de publicação: 07 de maio de 2021
URL: https://advisories.mageia.org/MGASA-2021-0207.html
Tipo: segurança
Lançamentos afetados da Mageia: 8
CVE: CVE-2021-20288
Uma falha de autenticação foi encontrada no ceph. Quando o monitor funciona
Solicitações CEPHX_GET_AUTH_SESSION_KEY, não higieniza other_keys,
permitindo a reutilização de chaves. Um invasor que pode solicitar um global_id pode explorar o
capacidade de qualquer usuário de solicitar um global_id previamente associado com
outro usuário, já que o ceph não força a reutilização de chaves antigas para gerar novas
uns. A maior ameaça desta vulnerabilidade é a confidencialidade dos dados
e integridade, bem como disponibilidade do sistema (CVE-2021-20288).
Referências:
- https://bugs.mageia.org/show_bug.cgi?id=28804
- https://www.openwall.com/lists/oss-security/2021/04/14/2
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20288
SRPMS:
- 8 / core / ceph-15.2.11-1.mga8
Até a ´próxima !!
Nenhum comentário:
Postar um comentário