Avançar para o conteúdo principal
BlogSegurançaLinode Security Digest 11 - 18 de Dezembro de 2022

Linode Security Digest 11 - 18 de Dezembro de 2022

Linode Security Digest

No resumo desta semana, iremos discutir:

  • uma libertação de segurança Kibana;
  • uma vulnerabilidade no Traefik a gerir ligações TLS; e
  • uma fraca aleatoriedade em Webcrypto Keygen no NodeJS

Libertação de Segurança Kibana

Tipo Confusão: O programa atribui ou inicializa um recurso tal como um ponteiro, objecto, ou variável utilizando um tipo, mas mais tarde acede a esse recurso utilizando um tipo que é incompatível com o tipo original. - Definição MITRE

CVSSv3.1: NIST - 8.8 (Alta) | CVE ID: CVE-2022-1364

7.17.8, 8.5.0 Security Update: Foi descoberta uma vulnerabilidade de confusão de tipo no browser sem cabeça Chromium que o Kibana confia para as suas capacidades de comunicação. Esta questão afecta apenas casos de Kibana no local em sistemas operativos anfitriões onde a caixa de areia Crómio está desactivada (apenas CentOS, Debian). Esta questão não afecta o Elastic Cloud, uma vez que o Chromium sandbox está activado por defeito e não pode ser desactivado. Esta questão também não afecta a Elastic Cloud Enterprise.

Quadro de Mitigação da Libertação de Segurança Kibana

Vulnerabilidade no Traefik Gerir as ligações TLS

CVSSv3.1: 

  • NIST - 6.6 (Médio)
  • CNA (Github) - 8.1 (Alta)

ID CVE: CVE-2022-46153

O Traefik é um moderno proxy HTTP invertido e equilibrador de carga. Integra-se com os seus componentes de infra-estrutura existentes (Docker, Swarm mode, Kubernetes, Marathon, Consul, Etcd, Rancher, Amazon ECS) e configura-se automática e dinamicamente. 

Nas versões afectadas, existe uma potencial vulnerabilidade no Traefik a gerir as ligações TLS. Um router configurado com um TLSOption não bem formatado é exposto com um TLSOption vazio. Por exemplo, uma rota segura utilizando uma ligação mTLS configurada com um ficheiro CA errado é exposta sem verificação dos certificados do cliente. Os utilizadores são aconselhados a actualizar para a versão 2.9.6. 

Patch: https://github.com/traefik/traefik/releases/tag/v2.9.6

Os utilizadores incapazes de actualizar devem verificar os seus registos para detectar as seguintes mensagens de erro e corrigir directamente as opções do TLS:

CA vazia:

{"level":"error","msg":"invalid clientAuthType: RequireAndVerifyClientCert, CAFiles is required","routerName":"Router0@file"}

Mau conteúdo CA (ou mau caminho):

{"level":"error","msg":"invalid certificate(s) content","routerName":"Router0@file"}

Tipo de Cliente Desconhecido:

{"level":"error","msg":"unknown client auth type \"FooClientAuthType\"","routerName":"Router0@file"}

Cifras inválidasSuites: 

{"level":"error","msg":"invalid CipherSuite: foobar","routerName":"Router0@file"}

Curva inválidaPreferências:

{"level":"error","msg":"invalid CurveID in curvePreferences: foobar","routerName":"Router0@file"}

Aleatoriedade Fraca em Webcrypto Keygen no NodeJS

CWE-338: Utilização do Gerador de Números Pseudo-aleatórios (PRNG) Criptograficamente Fracos. O produto utiliza um Gerador de Números Pseudo-aleatórios (PRNG) num contexto de segurança, mas o algoritmo do PRNG não é criptograficamente forte.

CVSSv3.1: NIST - 9.1 (Crítico) | CVE ID: CVE-2022-35255

Uma vulnerabilidade introduzida no NodeJS v15.0.0 foi descoberta por um contribuidor no HackerOne em que https://github.com/nodejs/node/pull/35093 introduziu uma chamada para EntropySource() em SecretKeyGenTraits::DoKeyGen() em src/crypto/crypto_keygen.cc. Há dois problemas com isto:

  1. Node.js fez chamadas para EntropySource() em SecretKeyGenTraits::DoKeyGen(). No entanto, não verifica o valor de retorno e assume que o EntropySource() tem sempre sucesso, mas pode e por vezes irá falhar.
  2. Os dados aleatórios devolvidos porEntropySource() podem não ser criptograficamente fortes e, portanto, não ser adequados como material de chaveamento.

Globalmente, esta falha permite a um atacante remoto de decifrar informação sensível.

Patch: https://nodejs.org/en/blog/vulnerability/september-2022-security-releases/#weak-randomness-in-webcrypto-keygen-high-cve-2022-35255

Comentários

Deixe uma resposta

O seu endereço de correio electrónico não será publicado. Os campos obrigatórios estão marcados com *