No resumo desta semana, iremos discutir:
- uma libertação de segurança Kibana;
- uma vulnerabilidade no Traefik a gerir ligações TLS; e
- uma fraca aleatoriedade em Webcrypto Keygen no NodeJS
Libertação de Segurança Kibana
Tipo Confusão: O programa atribui ou inicializa um recurso tal como um ponteiro, objecto, ou variável utilizando um tipo, mas mais tarde acede a esse recurso utilizando um tipo que é incompatível com o tipo original. - Definição MITRE
CVSSv3.1: NIST - 8.8 (Alta) | CVE ID: CVE-2022-1364
7.17.8, 8.5.0 Security Update: Foi descoberta uma vulnerabilidade de confusão de tipo no browser sem cabeça Chromium que o Kibana confia para as suas capacidades de comunicação. Esta questão afecta apenas casos de Kibana no local em sistemas operativos anfitriões onde a caixa de areia Crómio está desactivada (apenas CentOS, Debian). Esta questão não afecta o Elastic Cloud, uma vez que o Chromium sandbox está activado por defeito e não pode ser desactivado. Esta questão também não afecta a Elastic Cloud Enterprise.
Vulnerabilidade no Traefik Gerir as ligações TLS
CVSSv3.1:
- NIST - 6.6 (Médio)
- CNA (Github) - 8.1 (Alta)
ID CVE: CVE-2022-46153
O Traefik é um moderno proxy HTTP invertido e equilibrador de carga. Integra-se com os seus componentes de infra-estrutura existentes (Docker, Swarm mode, Kubernetes, Marathon, Consul, Etcd, Rancher, Amazon ECS) e configura-se automática e dinamicamente.
Nas versões afectadas, existe uma potencial vulnerabilidade no Traefik a gerir as ligações TLS. Um router configurado com um TLSOption não bem formatado é exposto com um TLSOption vazio. Por exemplo, uma rota segura utilizando uma ligação mTLS configurada com um ficheiro CA errado é exposta sem verificação dos certificados do cliente. Os utilizadores são aconselhados a actualizar para a versão 2.9.6.
Patch: https://github.com/traefik/traefik/releases/tag/v2.9.6
Os utilizadores incapazes de actualizar devem verificar os seus registos para detectar as seguintes mensagens de erro e corrigir directamente as opções do TLS:
CA vazia:
{"level":"error","msg":"invalid clientAuthType: RequireAndVerifyClientCert, CAFiles is required","routerName":"Router0@file"}
Mau conteúdo CA (ou mau caminho):
{"level":"error","msg":"invalid certificate(s) content","routerName":"Router0@file"}
Tipo de Cliente Desconhecido:
{"level":"error","msg":"unknown client auth type \"FooClientAuthType\"","routerName":"Router0@file"}
Cifras inválidasSuites:
{"level":"error","msg":"invalid CipherSuite: foobar","routerName":"Router0@file"}
Curva inválidaPreferências:
{"level":"error","msg":"invalid CurveID in curvePreferences: foobar","routerName":"Router0@file"}
Aleatoriedade Fraca em Webcrypto Keygen no NodeJS
CWE-338: Utilização do Gerador de Números Pseudo-aleatórios (PRNG) Criptograficamente Fracos. O produto utiliza um Gerador de Números Pseudo-aleatórios (PRNG) num contexto de segurança, mas o algoritmo do PRNG não é criptograficamente forte.
CVSSv3.1: NIST - 9.1 (Crítico) | CVE ID: CVE-2022-35255
Uma vulnerabilidade introduzida no NodeJS v15.0.0 foi descoberta por um contribuidor no HackerOne em que https://github.com/nodejs/node/pull/35093 introduziu uma chamada para EntropySource() em SecretKeyGenTraits::DoKeyGen() em src/crypto/crypto_keygen.cc. Há dois problemas com isto:
- Node.js fez chamadas para EntropySource() em SecretKeyGenTraits::DoKeyGen(). No entanto, não verifica o valor de retorno e assume que o EntropySource() tem sempre sucesso, mas pode e por vezes irá falhar.
- Os dados aleatórios devolvidos porEntropySource() podem não ser criptograficamente fortes e, portanto, não ser adequados como material de chaveamento.
Globalmente, esta falha permite a um atacante remoto de decifrar informação sensível.
Comentários