Zum Inhalt springen
BlogSicherheitLinode Security Digest April 24 - Mai 1, 2022

Linode Security Digest 24. April bis 1. Mai 2022

Linode Security Digest

In der Sicherheitsübersicht dieser Woche behandeln wir ein kritisches Jira Security Advisory und andere hochgefährliche Schwachstellen in Java und dem Ingress-Modul von Kubernetesnginx . 

Umgehung der Authentifizierung von JIRA Server und Rechenzentrum

Laut einem von Atlassian am 20. April veröffentlichten Sicherheitshinweis sind einige frühere Versionen von JIRA Server und Data Center anfällig für eine Authentifizierungsumgehungsschwachstelle. Diese Schwachstelle könnte es einem entfernten, nicht authentifizierten Angreifer ermöglichen, die Authentifizierungs- und Autorisierungsanforderungen in WebWork-Aktionen mit einer betroffenen Konfiguration zu umgehen. Atlassian stuft diese Schwachstelle als kritisch ein. Es ist wichtig zu wissen, dass nur bestimmte Konfigurationen die Umgebung anfällig machen.

Weitere Details zu den betroffenen Anwendungen von Drittanbietern und Atlassian finden Sie im Advisory. Da es sich um eine kritische Sicherheitslücke handelt, empfiehlt Atlassian seinen Nutzern, die Sicherheitslücke durch ein Upgrade auf eine gepatchte Version von Jira zu beheben. 

Zu den anfälligen Versionen gehören:

Atlassian Jira Server und Data Center Versionen vor 8.13.18, zwischen 8.14.0-8.20.6, und zwischen 8.21.0-8.22.0

Atlassian Jira Service Management Server und Data Center Versionen vor 4.13.18, zwischen 4.14.0 - 4.20.6, und zwischen 4.21.0 - 4.22.0

Zu den korrigierten Versionen gehören 8.13.18, 8.20.6 und 8.22.0 sowie 4.13.18, 4.20.6 und 4.22.0.

Psychische Signaturen in Java

DerElliptic Curve Digital Signature Algorithm (ECDSA) ist ein digitaler Unterschriftsalgorithmus, der die Elliptische-Kurven-Kryptographie verwendet und dafür berüchtigt ist, schwer zu implementieren zu sein.

CVE-2022-21449 bezieht sich auf eine Schwachstelle, die in der Art und Weise gefunden wurde, wie Java ECDSA-Signaturen handhabt. Der EC-Teil der Codebasis wurde in Java Version 15 neu geschrieben und diese Neufassung führte einen Fehler ein, bei dem bestimmte Prüfungen während der Überprüfung von Signaturen nicht durchgeführt wurden.

Wenn Sie ECDSA in Ihren signierten JSON-Web-Tokens (JWT) und anderen Authentifizierungsnachrichten verwenden, könnte dieser Fehler es einem Angreifer ermöglichen, SSL-Zertifikate und Handshakes zu fälschen, um sich beim Server zu authentifizieren. Oracle empfiehlt seinen Benutzern, ihre Java-Installationen auf die neueste Version zu aktualisieren, um die Schwachstelle zu beheben. Alle Java-Versionen über 15 sind betroffen, und das von Oracle veröffentlichte kritische Patch-Update vom April 2022 behebt die Sicherheitslücke.

Laut der National Vulnerability Database kann eine erfolgreiche Ausnutzung dieser Schwachstelle dazu führen, dass unautorisierte Erstellung, Löschung oder Änderung Zugriff auf kritische Daten oder alle Oracle Java SE, Oracle GraalVM Enterprise Edition zugänglichen Daten haben.

Grundlegende Ursache

In Java Version 15 wurde der ursprünglich in C++ geschriebene Code für die elliptische Kurvenverschlüsselung in Java umgeschrieben. Diese Neufassung führte dazu, dass die Authentifizierungsmechanismen, die ECDSA-Signaturen verwenden, anfällig für die Authentifizierung gefälschter Nachrichten waren.

OpenJDK Vulnerability Advisory für CVE-2022-21449 finden Sie hier.

Credits: Neil Madden

Kubernetes Ingress-Nginx Sicherheitslücke

Kubernetes bietet Nutzern das Ingress-nginx Modul als Load-Balancer und Reverse-Proxy.

CVE-2021-25746 bezieht sich auf eine Sicherheitslücke, die es einem Benutzer, der Ingress-Objekte erstellen oder aktualisieren kann, ermöglicht, die Anmeldeinformationen des Ingress-nginx Controllers zu erhalten. In der Standardkonfiguration hat dieser Berechtigungsnachweis Zugriff auf alle Geheimnisse im Cluster.

A successful exploit by a malicious user could allow them access to every secret in the Kubernetes environment. This is a high-severity vulnerability that only affects Kubernetes users who use the ingress-nginx module (<1.2.0) in its default configuration. If you do not use the ingress-nginx controller, you are not affected, as per the security advisory. This vulnerability was mitigated by the 1.2.0 and v1.2.0-beta.0 version updates.

Gemäß dem Advisory kann diese Schwachstelle auch durch die Implementierung einer Zulassungsrichtlinie entschärft werden, die die Werte von metadata.annotations auf bekannte sichere Werte beschränkt (siehe die neu hinzugefügten Regeln oder den vorgeschlagenen Wert für annotation-value-word-blocklist).


Kommentare

Kommentar abgeben

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *gekennzeichnet