No boletim de segurança desta semana, cobriremos uma consultoria de segurança crítica da Jira e outras vulnerabilidades de alta severidade em Java e no módulo ingress-nginx da Kubernetes.
Servidor JIRA e Bypass de autenticação do Data Center
De acordo com uma consultoria de segurança lançada pela Atlassian em 20 de abril, algumas versões anteriores do JIRA Server e Data Center são propensas a uma vulnerabilidade de autenticação. Esta vulnerabilidade poderia permitir que um atacante remoto, não autenticado, contornasse os requisitos de autenticação e autorização em ações WebWork usando uma configuração afetada. A Atlassian classificou esta vulnerabilidade como de gravidade crítica e é útil notar que somente configurações específicas causam vulnerabilidade ao ambiente.
Você pode ler a consultoria para mais detalhes sobre as aplicações de terceiros afetados e Atlassian. Como esta é uma vulnerabilidade crítica, a Atlassian recomenda que seus usuários remedeiem a vulnerabilidade, atualizando para uma versão corrigida do Jira.
As versões vulneráveis incluem:
Versões Atlassian Jira Server e Data Center antes de 8.13.18, entre 8.14.0-8.20.6 e entre 8.21.0-8.22.0
Versões Atlassian Jira Service Management Server e Data Center antes de 4.13.18, entre 4.14.0 - 4.20.6, e entre 4.21.0 - 4.22.0
As versões fixas incluem 8.13.18, 8.20.6, e 8.22.0 e 4.13.18, 4.20.6, e 4.22.0.
Assinaturas psíquicas em Java
Algoritmo de Assinatura Digital Curva Elíptica (ECDSA) é um Algoritmo de Assinatura Digital que usa a criptografia de curva elíptica e é infame por ser difícil de implementar corretamente.
CVE-2022-21449 é atribuído a uma vulnerabilidade encontrada na forma como Java lida com as assinaturas ECDSA. A parte CE da base de código foi reescrita na versão 15 do Java e esta reescrita introduziu um bug onde certas verificações não foram realizadas durante a verificação das assinaturas.
Se você estiver usando o ECDSA em suas mensagens assinadas JSON Web Tokens (JWT) e outras mensagens de autenticação, este bug pode permitir que um atacante forje certificados SSL e apertos de mão para se autenticar no servidor. A Oracle recomenda que seus usuários atualizem suas instalações Java para a versão mais recente, a fim de mitigar a vulnerabilidade. Todas as versões Java acima de 15 são afetadas e o Critical Patch Update lançado pela Oracle, em abril de 2022, mitiga a vulnerabilidade.
De acordo com o National Vulnerability Database, a exploração bem sucedida desta vulnerabilidade pode resultar na criação, exclusão ou modificação não autorizada do acesso a dados críticos ou a todos os dados acessíveis Oracle Java SE, Oracle GraalVM Enterprise Edition.
Causa Raiz
Na versão 15 de Java, o código de criptografia de curva elíptica, inicialmente escrito em C++, foi reescrito em Java. Esta reescrita fez com que os mecanismos de autenticação utilizando assinaturas ECDSA ficassem vulneráveis à autenticação de mensagens forjadas.
O OpenJDK Vulnerability Advisory for CVE-2022-21449 pode ser encontrado aqui.
Créditos: Neil Madden
Kubernetes Ingress-Nginx Vulnerabilidade
A Kubernetes oferece aos usuários o módulo ingress-nginx como um balancim de carga e proxy reverso.
O CVE-2021-25746 é atribuído a uma vulnerabilidade que permite a um usuário que pode criar ou atualizar objetos de entrada para obter as credenciais do controlador ingress-nginx . Na configuração padrão, essa credencial tem acesso a todos os segredos do cluster.
A successful exploit by a malicious user could allow them access to every secret in the Kubernetes environment. This is a high-severity vulnerability that only affects Kubernetes users who use the ingress-nginx module (<1.2.0) in its default configuration. If you do not use the ingress-nginx controller, you are not affected, as per the security advisory. This vulnerability was mitigated by the 1.2.0 and v1.2.0-beta.0 version updates.
Para a consultoria, se você não puder lançar a correção, esta vulnerabilidade também pode ser mitigada pela implementação de uma política de admissão que restringe os valores dos metadados.anotações a valores seguros conhecidos (veja as regras recém-adicionadas, ou o valor sugerido para a lista de bloco de anotações-valores).
Comentários