HashiCorp修補帳密管理工具Vault高風險漏洞

9月26日雲端服務基礎設施自動化業者HashiCorp發布資安公告，指出旗下的機敏資訊（secrets）管理工具Vault存在高風險漏洞CVE-2024-7594，同時影響社群版（Community Edition）與企業版（Enterprise），對此，他們發布社群版1.17.6，以及企業版1.17.6、1.16.10、1.15.15予以修補。

這項漏洞發生的原因，在於SSH機敏資訊引擎的valid_principals列表預設不須具備任何參數，一旦valid_principals及default_user欄位尚未設定，任何得到授權的使用者請求的SSH憑證，將能對任何本機使用者進行身分驗證，CVSS風險評分為7.7。

由於valid_principals欄位的用途，是提供SSH伺服器驗證Vault產生的憑證，若是該欄位設定為空字串或是零規則（zero principals），在特定情況的所有規則之下，憑證都會是有效的。為了防範上述弱點，該公司在Vault的SSH機敏資訊引擎加入allow_empty_principals組態，並預設為關閉，但需要維持相容性的用戶，仍可更改這項設定以維持向下相容。

針對這項漏洞的緩解，HashiCorp認為用戶應評估處理該弱點而可能產生的風險，若是無法部署新版Vault，應考慮調整SSH機敏資訊引擎的欄位valid_principals，將其設置為非空值。