No boletim de segurança desta semana, cobriremos uma Aconselhamento de Segurança Jira crítica e outras vulnerabilidades de alta severidade em Java e no módulo ingress-nginx da Kubernetes.
Servidor JIRA e Data Center Authentication Bypass
De acordo com um aviso de segurança lançado pela Atlassian a 20 de Abril, algumas versões anteriores do Servidor e Centro de Dados JIRA são propensas a uma vulnerabilidade de autenticação. Esta vulnerabilidade poderia permitir a um atacante remoto, não autenticado, contornar os requisitos de autenticação e autorização em acções WebWork utilizando uma configuração afectada. A Atlassian classificou esta vulnerabilidade como de gravidade crítica e é útil notar que apenas configurações específicas causam a vulnerabilidade do ambiente.
Pode ler o aconselhamento para mais detalhes sobre as aplicações de terceiros afectados e Atlassian. Uma vez que se trata de uma vulnerabilidade crítica, a Atlassian recomenda aos seus utilizadores que remedeiem a vulnerabilidade, actualizando para uma versão corrigida do Jira.
As versões vulneráveis incluem:
Versões Atlassian Jira Server e Data Center antes de 8.13.18, entre 8.14.0-8.20.6, e entre 8.21.0-8.22.0
Atlassian Jira Service Management Server e versões do Data Center antes de 4.13.18, entre 4.14.0 - 4.20.6, e entre 4.21.0 - 4.22.0
As versões fixas incluem 8.13.18, 8.20.6, e 8.22.0 e 4.13.18, 4.20.6, e 4.22.0.
Assinaturas psíquicas em Java
Algoritmo de Assinatura Digital de Curva Elíptica (ECDSA) é um Algoritmo de Assinatura Digital que utiliza a criptografia de curva elíptica e é infame por ser difícil de implementar correctamente.
CVE-2022-21449 é atribuído a uma vulnerabilidade encontrada na forma como Java lida com as assinaturas ECDSA. A parte CE da base de códigos foi reescrita na versão 15 de Java e esta reescrita introduziu um bug onde certas verificações não foram efectuadas enquanto se verificavam as assinaturas.
Se estiver a utilizar o ECDSA nos seus Web Tokens JSON assinados (JWT) e outras mensagens de autenticação, este bug pode permitir que um atacante forje certificados SSL e apertos de mão para se autenticar no servidor. A Oracle recomenda aos seus utilizadores que actualizem as suas instalações Java para a versão mais recente, a fim de mitigar a vulnerabilidade. Todas as versões Java acima de 15 são afectadas e o Critical Patch Update lançado pela Oracle, em Abril de 2022, atenua a vulnerabilidade.
De acordo com a National Vulnerability Database, a exploração bem sucedida desta vulnerabilidade pode resultar na criação, eliminação ou modificação não autorizada do acesso a dados críticos ou a todos os dados acessíveis Oracle Java SE, Oracle GraalVM Enterprise Edition.
Causa Raiz
Na versão 15 de Java, o código de criptografia de curva elíptica, inicialmente escrito em C++, foi reescrito em Java. Esta reescrita fez com que os mecanismos de autenticação utilizando assinaturas ECDSA ficassem vulneráveis à autenticação de mensagens forjadas.
OpenJDK Vulnerability Advisory for CVE-2022-21449 pode ser encontrado aqui.
Créditos: Neil Madden
Kubernetes Ingress-Nginx Vulnerabilidade
Kubernetes oferece aos utilizadores o módulo ingress-nginx como um load-balancer e proxy reverso.
CVE-2021-25746 é atribuído a uma vulnerabilidade que permite a um utilizador que pode criar ou actualizar objectos de entrada para obter as credenciais do controlador ingress-nginx . Na configuração padrão, essa credencial tem acesso a todos os segredos do cluster.
A successful exploit by a malicious user could allow them access to every secret in the Kubernetes environment. This is a high-severity vulnerability that only affects Kubernetes users who use the ingress-nginx module (<1.2.0) in its default configuration. If you do not use the ingress-nginx controller, you are not affected, as per the security advisory. This vulnerability was mitigated by the 1.2.0 and v1.2.0-beta.0 version updates.
Por exemplo, se não for possível lançar a correcção, esta vulnerabilidade pode também ser mitigada através da implementação de uma política de admissão que restringe os valores dos metadados.anotações a valores seguros conhecidos (ver as novas regras, ou o valor sugerido para a lista de bloco de valores de anotação).
Comentários