Nel bollettino di sicurezza di questa settimana, tratteremo un avviso di sicurezza critico di Jira e altre vulnerabilità ad alta gravità in Java e nel modulo ingress-nginx di Kubernetes.
Bypass dell'autenticazione del server JIRA e del centro dati
Secondo un avviso di sicurezza rilasciato da Atlassian il 20 aprile, alcune versioni precedenti di JIRA Server e Data Center sono soggette a una vulnerabilità di bypass dell'autenticazione. Questa vulnerabilità potrebbe consentire a un aggressore remoto non autenticato di aggirare i requisiti di autenticazione e autorizzazione nelle azioni WebWork utilizzando una configurazione interessata. Atlassian ha classificato questa vulnerabilità come di gravità critica ed è utile notare che solo specifiche configurazioni rendono l'ambiente vulnerabile.
Per ulteriori dettagli sulle applicazioni di terze parti e Atlassian interessate, è possibile leggere l'avviso. Trattandosi di una vulnerabilità critica, Atlassian raccomanda ai propri utenti di rimediare alla vulnerabilità aggiornando la versione di Jira con una patch.
Le versioni vulnerabili includono:
Versioni di Atlassian Jira Server e Data Center precedenti alla 8.13.18, comprese tra la 8.14.0 e la 8.20.6, e tra la 8.21.0 e la 8.22.0.
Versioni di Atlassian Jira Service Management Server e Data Center precedenti alla 4.13.18, comprese tra la 4.14.0 e la 4.20.6 e tra la 4.21.0 e la 4.22.0.
Le versioni corrette includono le versioni 8.13.18, 8.20.6 e 8.22.0 e le versioni 4.13.18, 4.20.6 e 4.22.0.
Firme psichiche in Java
L'algoritmo di firma digitale a curva ellittica (ECDSA) è un algoritmo di firma digitale che utilizza la crittografia a curva ellittica ed è famoso per essere difficile da implementare correttamente.
CVE-2022-21449 è assegnata a una vulnerabilità riscontrata nel modo in cui Java gestisce le firme ECDSA. La parte EC della base di codice è stata riscritta nella versione 15 di Java e questa riscrittura ha introdotto un bug per cui alcuni controlli non venivano eseguiti durante la verifica delle firme.
Se si utilizza l'ECDSA nei JSON Web Token (JWT) firmati e in altri messaggi di autenticazione, questo bug potrebbe consentire a un utente malintenzionato di falsificare i certificati SSL e gli handshake per autenticarsi al server. Oracle raccomanda agli utenti di aggiornare le installazioni di Java alla versione più recente per mitigare la vulnerabilità. Tutte le versioni di Java superiori alla 15 sono interessate e il Critical Patch Update di aprile 2022 rilasciato da Oracle mitiga la vulnerabilità.
Secondo il National Vulnerability Database, lo sfruttamento di questa vulnerabilità può portare alla creazione, alla cancellazione o alla modifica non autorizzata di dati critici o di tutti i dati accessibili di Oracle Java SE, Oracle GraalVM Enterprise Edition.
Causa principale
Nella versione 15 di Java, il codice della crittografia a curve ellittiche, inizialmente scritto in C++, è stato riscritto in Java. Questa riscrittura ha reso i meccanismi di autenticazione che utilizzano le firme ECDSA vulnerabili all'autenticazione di messaggi falsificati.
L'avviso di vulnerabilità di OpenJDK per CVE-2022-21449 è disponibile qui.
Crediti: Neil Madden
Vulnerabilità Kubernetes Ingress-Nginx
Kubernetes offre agli utenti il modulo ingress-nginx come load-balancer e reverse proxy.
CVE-2021-25746 è assegnata a una vulnerabilità che consente a un utente in grado di creare o aggiornare gli oggetti di ingresso di ottenere le credenziali del controller di ingressonginx . Nella configurazione predefinita, tale credenziale ha accesso a tutti i segreti del cluster.
A successful exploit by a malicious user could allow them access to every secret in the Kubernetes environment. This is a high-severity vulnerability that only affects Kubernetes users who use the ingress-nginx module (<1.2.0) in its default configuration. If you do not use the ingress-nginx controller, you are not affected, as per the security advisory. This vulnerability was mitigated by the 1.2.0 and v1.2.0-beta.0 version updates.
Secondo l'advisory, se non si è in grado di applicare la correzione, questa vulnerabilità può essere mitigata anche implementando un criterio di ammissione che limiti i valori di metadata.annotations a valori sicuri conosciuti (vedere le regole appena aggiunte o il valore suggerito per annotation-value-word-blocklist).
Commenti