メインコンテンツにスキップ
ブログセキュリティLinodeセキュリティダイジェスト 2022年12月11日~12月18日

Linode セキュリティダイジェスト 2022 年 12 月 11 日~18 日

Linode セキュリティダイジェスト

今週のダイジェストでは、以下をご紹介します。

  • Kibanaのセキュリティリリース。
  • TLS接続を管理するTraefikの脆弱性。
  • NodeJS上のWebcrypto Keygenの弱いランダム性

Kibanaのセキュリティリリース

型の混同。プログラムがある型を使用してポインター、オブジェクト、変数などのリソースを割り当てたり初期化したりするが、後で元の型と互換性のない型を使ってそのリソースにアクセスすること。- MITREの定義

CVSSv3.1NIST - 8.8 (高) | CVE ID:CVE-2022-1364

7.17.8, 8.5.0 セキュリティアップデート : Kibana がレポート機能で依存しているヘッドレス Chromium ブラウザに、タイプ混乱の脆弱性が発見されました。この問題は、Chromium サンドボックスが無効になっているホスト OS 上のオンプレミス Kibana インスタンスにのみ影響します (CentOS,Debian のみ)。Chromium サンドボックスはデフォルトで有効になっており、無効にすることはできないため、この問題は Elastic Cloud には影響しません。また、この問題は Elastic Cloud Enterprise にも影響しません。

Kibanaセキュリティリリース緩和図

TraefikがTLSコネクションを管理する際の脆弱性

CVSSv3.1です。 

  • NIST - 6.6 (中)
  • CNA (Github) - 8.1 (高)

CVE IDCVE-2022-46153

Traefikは、最新のHTTPリバースプロキシおよびロードバランサです。既存のインフラ コンポーネント (Docker, Swarm mode, Kubernetes, Marathon, Consul, Etcd,Rancher,Amazon ECS) と統合し、自動的かつ動的に自身を構成します。 

影響を受けるバージョンでは、Traefik の TLS 接続管理に潜在的な脆弱性が存在します。不適切な形式のTLSOptionで設定されたルータは、空のTLSOptionで公開されます。例えば、間違ったCAファイルで設定されたmTLS接続を使用して確保されたルートは、クライアント証明書を検証することなく公開されます。ユーザーは、バージョン 2.9.6 にアップグレードすることをお勧めします。 

パッチ :https://github.com/traefik/traefik/releases/tag/v2.9.6

アップグレードできないユーザーは、ログをチェックして以下のエラーメッセージを検出し、TLSオプションを直接修正する必要があります。

空っぽのCA。

{"level":"error","msg":"invalid clientAuthType: RequireAndVerifyClientCert, CAFiles is required","routerName":"Router0@file"}

CAの内容が悪い(またはパスが悪い)。

{"level":"error","msg":"invalid certificate(s) content","routerName":"Router0@file"}

不明なクライアント認証のタイプ。

{"level":"error","msg":"unknown client auth type \"FooClientAuthType\"","routerName":"Router0@file"}

cipherSuites が無効です。 

{"level":"error","msg":"invalid CipherSuite: foobar","routerName":"Router0@file"}

curvePreferences が無効です。

{"level":"error","msg":"invalid CurveID in curvePreferences: foobar","routerName":"Router0@file"}

NodeJS上のWebcrypto Keygenにおける脆弱なランダム性

CWE-338。暗号学的に弱い擬似乱数生成器(PRNG)の使用。本製品では、セキュリティの観点から擬似乱数生成器(PRNG)を使用していますが、PRNGのアルゴリズムは暗号学的に強力ではありません。

CVSSv3.1NIST - 9.1 (重要) | CVE ID:CVE-2022-35255

NodeJS v15.0.0 で導入された脆弱性は、HackerOne の投稿者によって発見されました。https://github.com/nodejs/node/pull/35093は、 src/crypto/crypto_keygen.cc のSecretKeyGenTraits::DoKeyGen() でEntropySource()を呼び出しています。これには2つの問題があります。

  1. Node.js はSecretKeyGenTraits::DoKeyGen() の中でEntropySource()を呼び出すようにした。ただし、戻り値をチェックせず、EntropySource()が常に成功することを前提にしていますが、失敗することもありますし、失敗することもあります。
  2. EntropySource()が返すランダムデータは、暗号学的に強くない可能性があり、鍵の材料として適さない。

全体として、この欠陥により、遠隔地の攻撃者は機密情報を復号化することができます。

パッチ https://nodejs.org/en/blog/vulnerability/september-2022-security-releases/#weak-randomness-in-webcrypto-keygen-high-cve-2022-35255

コメント 

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。