En el resumen de seguridad de esta semana, cubriremos un aviso de seguridad crítico de Jira y otras vulnerabilidades de alta gravedad en Java y el módulo de entrada de Kubernetes -nginx .
Anulación de la autenticación de JIRA Server y del centro de datos
Según un aviso de seguridad publicado por Atlassian el 20 de abril, algunas versiones anteriores de JIRA Server y Data Center son propensas a una vulnerabilidad de omisión de autenticación. Esta vulnerabilidad podría permitir a un atacante remoto no autentificado saltarse los requisitos de autentificación y autorización en las acciones de WebWork utilizando una configuración afectada. Atlassian calificó esta vulnerabilidad como de gravedad crítica y es útil tener en cuenta que sólo determinadas configuraciones hacen que el entorno sea vulnerable.
Puede leer el aviso para obtener más detalles sobre las aplicaciones de terceros y de Atlassian afectadas. Dado que se trata de una vulnerabilidad crítica, Atlassian recomienda a sus usuarios que corrijan la vulnerabilidad actualizando a una versión parcheada de Jira.
Las versiones vulnerables son:
Versiones de Atlassian Jira Server y Data Center anteriores a la 8.13.18, entre la 8.14.0-8.20.6 y entre la 8.21.0-8.22.0
Versiones del servidor de gestión de servicios de Atlassian Jira y del centro de datos anteriores a la 4.13.18, entre la 4.14.0 y la 4.20.6, y entre la 4.21.0 y la 4.22.0
Las versiones corregidas son 8.13.18, 8.20.6 y 8.22.0 y 4.13.18, 4.20.6 y 4.22.0.
Firmas psíquicas en Java
ElAlgoritmo de Firma Digital de CurvaElíptica (ECDSA) es un Algoritmo de Firma Digital que utiliza la criptografía de curva elíptica y es famoso por ser difícil de implementar adecuadamente.
CVE-2022-21449 se asigna a una vulnerabilidad encontrada en la forma en que Java maneja las firmas ECDSA. La parte de la base de código de EC se reescribió en la versión 15 de Java y esta reescritura introdujo un error por el que no se realizaban ciertas comprobaciones al verificar las firmas.
Si está utilizando el ECDSA en sus Tokens Web JSON (JWT) firmados y otros mensajes de autenticación, este fallo podría permitir a un atacante falsificar certificados SSL y handshakes para autenticarse en el servidor. Oracle recomienda a sus usuarios que actualicen sus instalaciones de Java a la última versión para mitigar la vulnerabilidad. Todas las versiones de Java superiores a la 15 están afectadas y la actualización de parches críticos de abril de 2022 publicada por Oracle mitiga la vulnerabilidad.
Según la Base de Datos Nacional de Vulnerabilidades, la explotación exitosa de esta vulnerabilidad puede resultar en la creación no autorizada, la eliminación o el acceso a la modificación de datos críticos o todos los datos accesibles de Oracle Java SE, Oracle GraalVM Enterprise Edition.
Causa principal
En la versión 15 de Java, el código de la criptografía de curva elíptica, inicialmente escrito en C++, se reescribió en Java. Esta reescritura hizo que los mecanismos de autenticación que utilizan firmas ECDSA fueran vulnerables a la autenticación de mensajes falsos.
El aviso de vulnerabilidad de OpenJDK para CVE-2022-21449 puede encontrarse aquí.
Créditos: Neil Madden
Kubernetes Ingress-Nginx Vulnerabilidad
Kubernetes ofrece a los usuarios el módulo ingress-nginx como equilibrador de carga y proxy inverso.
CVE-2021-25746 se asigna a una vulnerabilidad que permite a un usuario que puede crear o actualizar objetos de entrada obtener las credenciales del controlador de entrada-nginx . En la configuración por defecto, esa credencial tiene acceso a todos los secretos del clúster.
A successful exploit by a malicious user could allow them access to every secret in the Kubernetes environment. This is a high-severity vulnerability that only affects Kubernetes users who use the ingress-nginx module (<1.2.0) in its default configuration. If you do not use the ingress-nginx controller, you are not affected, as per the security advisory. This vulnerability was mitigated by the 1.2.0 and v1.2.0-beta.0 version updates.
Según el aviso, si no puede implementar la corrección, esta vulnerabilidad también se puede mitigar implementando una política de admisión que restrinja los valores de metadata.annotations a valores seguros conocidos (vea las reglas recién agregadas, o el valor sugerido para annotation-value-word-blocklist).
Comentarios