在本周的安全摘要中,我们将介绍一个重要的Jira安全咨询,以及Java和Kubernetes的ingress-nginx 模块中的其他高严重性漏洞。
JIRA服务器和数据中心认证绕过
根据Atlassian在4月20日发布的安全公告,JIRA服务器和数据中心的一些先前版本容易出现认证绕过漏洞。这个漏洞可以让远程的、未经认证的攻击者在使用受影响的配置的WebWork操作中绕过认证和授权要求。Atlassian把这个漏洞评为严重程度,值得注意的是,只有特定的配置才会导致环境出现漏洞。
你可以阅读该公告,了解受影响的第三方和Atlassian应用程序的更多细节。由于这是一个关键的漏洞,Atlassian建议他们的用户通过升级到Jira的补丁版本来补救这个漏洞。
脆弱的版本包括:
Atlassian Jira服务器和数据中心在8.13.18之前、8.14.0-8.20.6之间和8.21.0-8.22.0之间的版本。
Atlassian Jira服务管理服务器和数据中心在4.13.18之前,4.14.0-4.20.6之间,以及4.21.0-4.22.0之间的版本。
固定版本包括8.13.18、8.20.6和8.22.0以及4.13.18、4.20.6和4.22.0。
Java中的通灵签名
椭圆曲线数字签名算法(ECDSA)是一种使用椭圆曲线加密技术的数字签名算法,它因难以正确实现而臭名昭著。
CVE-2022-21449是指在Java处理ECDSA签名的方式中发现的一个漏洞。代码库的EC部分在Java版本15中被重写,这次重写引入了一个错误,即在验证签名时不执行某些检查。
如果你在签署的JSON网络令牌(JWT)和其他认证信息中使用ECDSA,这个漏洞可能允许攻击者伪造SSL证书和握手,以认证自己的服务器。甲骨文公司建议他们的用户将他们的Java安装更新到最新的版本,以减轻该漏洞的影响。所有15岁以上的Java版本都受到影响,甲骨文公司发布的2022年4月关键补丁更新缓解了该漏洞。
根据国家漏洞数据库,成功利用该漏洞可导致对关键数据或所有Oracle Java SE、Oracle GraalVM企业版可访问数据的未经授权的创建、删除或修改访问。
根本原因
在Java第15版中,最初用C++编写的椭圆曲线密码学代码被改写成了Java。这一重写导致利用ECDSA签名的认证机制容易被认证为伪造的信息。
关于CVE-2022-21449的OpenJDK漏洞咨询可以在这里找到。
信用:Neil Madden
Kubernetes Ingress-Nginx 漏洞
Kubernetes为用户提供ingress-nginx模块作为负载平衡器和反向代理。
CVE-2021-25746被指定为一个漏洞,允许能够创建或更新入口对象的用户获得入口-nginx 控制器的凭证。在默认配置中,该凭证可以访问集群中的所有秘密。
A successful exploit by a malicious user could allow them access to every secret in the Kubernetes environment. This is a high-severity vulnerability that only affects Kubernetes users who use the ingress-nginx module (<1.2.0) in its default configuration. If you do not use the ingress-nginx controller, you are not affected, as per the security advisory. This vulnerability was mitigated by the 1.2.0 and v1.2.0-beta.0 version updates.
根据咨询意见,如果你无法推出修复程序,这个漏洞也可以通过实施准入策略来缓解,该策略将metadata.annotations值限制在已知的安全值上(见新添加的规则,或annotation-value-word-blocklist的建议值)。
注释