9月26日雲端服務基礎設施自動化業者HashiCorp發布資安公告,指出旗下的機敏資訊(secrets)管理工具Vault存在高風險漏洞CVE-2024-7594,同時影響社群版(Community Edition)與企業版(Enterprise),對此,他們發布社群版1.17.6,以及企業版1.17.6、1.16.10、1.15.15予以修補。

這項漏洞發生的原因,在於SSH機敏資訊引擎的valid_principals列表預設不須具備任何參數,一旦valid_principals及default_user欄位尚未設定,任何得到授權的使用者請求的SSH憑證,將能對任何本機使用者進行身分驗證,CVSS風險評分為7.7。

由於valid_principals欄位的用途,是提供SSH伺服器驗證Vault產生的憑證,若是該欄位設定為空字串或是零規則(zero principals),在特定情況的所有規則之下,憑證都會是有效的。為了防範上述弱點,該公司在Vault的SSH機敏資訊引擎加入allow_empty_principals組態,並預設為關閉,但需要維持相容性的用戶,仍可更改這項設定以維持向下相容。

針對這項漏洞的緩解,HashiCorp認為用戶應評估處理該弱點而可能產生的風險,若是無法部署新版Vault,應考慮調整SSH機敏資訊引擎的欄位valid_principals,將其設置為非空值。

熱門新聞

Advertisement