检测

GLSA-202207-01:HashiCorp Vault:多个漏洞

high Nessus 插件 ID 163698

语言:

描述

远程主机受到 GLSA-202207-01 中所述漏洞的影响(HashiCorp Vault:多个漏洞)

 - HashiCorp Vault 和 Vault Enterprise 允许通过未经身份验证的 HTTP 请求枚举 Secrets Engine 挂载路径。已在 1.6.2 和 1.5.7 版中修复。(CVE-2020-25594)

 - HashiCorp Vault Enterprise 0.9.2 至 1.6.2 版允许在未经身份验证的情况下从 DR 辅助群集读取许可证元数据。已在 1.6.3 版中修复。(CVE-2021-27668)

 - HashiCorp Vault 和 Vault Enterprise 在响应某些未经身份验证的无效 HTTP 请求时会泄露 Vault 节点的内部 IP 地址。已在 1.6.2 和 1.5.7 版中修复。(CVE-2021-3024)

 - HashiCorp Vault Enterprise 1.6.0 和 1.6.1 版允许在未经身份验证的情况下对 DR 辅助群集执行“remove-peer”raft 运算符命令。已在 1.6.2 版中修复。(CVE-2021-3282)

 - HashiCorp Vault 和 Vault Enterprise 允许续订即将到期的 Token 租约和动态密钥租约(具体而言,最大 TTL 在 1 秒内的租约),这导致这些租约在后续使用期间被错误地视为未到期。已在 1.5.9、1.6.5 和 1.7.2 版中修复。(CVE-2021-32923)

 - HashiCorp Consul 和 Consul Enterprise 1.10.1 的 Raft RPC 层允许具有相同 CA 签署的有效证书的非服务器代理访问仅限服务器的功能,从而造成权限升级。
 已在 1.8.15、1.9.9 和 1.10.2 版中修复。(CVE-2021-37219)

 - 在 HashiCorp Vault 和 Vault Enterprise 1.4.0 至 1.7.3 版中,程序使用过宽的文件系统权限初始化与 Integrated Storage 功能相关联的底层数据库文件。已在 Vault 和 Vault Enterprise 1.8.0 版中修复。(CVE-2021-38553)

 - HashiCorp Vault 和 Vault Enterprise 的 UI 会在单一共享浏览器的会话之间错误地缓存和泄露用户查看过的密钥。已在 1.8.0 版和待定的 1.7.4 / 1.6.6 版本中修复。(CVE-2021-38554)

 - 在 HashiCorp Vault 和 Vault Enterprise 1.7.4 及之前所有版本和 1.8.3 版中,对实体别名 ID 具有写入权限并与另一用户共享挂载访问器的用户可通过合并身份来获取另一用户的策略。已在 Vault 和 Vault Enterprise 1.7.5 和 1.8.4 版中修复。(CVE-2021-41802)

 - 在 HashiCorp Vault 和 Vault Enterprise 0.11.0 至 1.7.5版以及 1.8.4 版中,如果指定的实体和挂载组合存在多个实体别名,模板化 ACL 策略将始终匹配最先创建的实体别名,这可能导致不正确的策略执行。已在 Vault 和 Vault Enterprise 1.7.6、1.8.5 和 1.9.0 版中修复。(CVE-2021-43998)

 - 在 HashiCorp Vault 和 Vault Enterprise 1.7.7 之前版本 、低于 1.8.6 的 1.8.x 版以及低于 1.9.1 的 1.9.x 版中,使用 Integrated Storage 后端的群集允许经身份验证的用户(具有对 kv 加密引擎的写入权限)造成存储后端发生错误并拒绝服务。受影响的最低版本为 1.4.0。(CVE-2021-45042)

 - 在 Vault 和 Vault Enterprise 1.8.0 至 1.8.8 版以及 1.9.3 版中,即使 PKI 角色策略属性 allow_subdomains 已设置为 false,在某些配置下 PKI 加密引擎仍可向授权用户颁发指定域的通配符证书。已在 Vault Enterprise 1.8.9 和 1.9.4 版中修复。
 (CVE-2022-25243)

 - 在 HashiCorp Vault 和 Vault Enterprise 1.10.0 至 1.10.2 版中,用户在服务器重新启动后登录时,程序未正确配置和强制执行 MFA。此问题影响 Vault 和 Vault Enterprise 1.10.0 版中引入的 Login MFA 功能 ,但不会影响单独的 Enterprise MFA 功能集。已在 1.10.3 版中修复。(CVE-2022-30689)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

所有 HashiCorp Vault 用户都应升级到最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=app-admin/vault-1.10.3

另见

https://security.gentoo.org/glsa/202207-01

https://bugs.gentoo.org/show_bug.cgi?id=768312

https://bugs.gentoo.org/show_bug.cgi?id=797244

https://bugs.gentoo.org/show_bug.cgi?id=808093

https://bugs.gentoo.org/show_bug.cgi?id=817269

https://bugs.gentoo.org/show_bug.cgi?id=827945

https://bugs.gentoo.org/show_bug.cgi?id=829493

https://bugs.gentoo.org/show_bug.cgi?id=835070

https://bugs.gentoo.org/show_bug.cgi?id=845405

插件详情

严重性: High

ID: 163698

文件名: gentoo_GLSA-202207-01.nasl

版本: 1.2

类型: local

发布时间: 2022/8/2

最近更新时间: 2022/8/2

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.5

时间分数: 4.8

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS 分数来源: CVE-2021-37219

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:gentoo:linux, p-cpe:/a:gentoo:linux:vault

必需的 KB 项: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

易利用性: No known exploits are available

补丁发布日期: 2022/7/29

漏洞发布日期: 2021/2/1

参考资料信息

CVE: CVE-2020-25594, CVE-2021-27668, CVE-2021-3024, CVE-2021-3282, CVE-2021-32923, CVE-2021-37219, CVE-2021-38553, CVE-2021-38554, CVE-2021-41802, CVE-2021-43998, CVE-2021-45042, CVE-2022-25243, CVE-2022-30689