Canonical · Lxd · CVE-2024-6156
Nome do software vulnerável e versões afetadas:
Versões do LXD 4.0 a 5.21.1
Descrição:
Foi detectada uma falha de segurança no modo PKI do LXD, na qual o certificado de um cliente poderia ser usado para contornar a autenticação caso estivesse presente no repositório de confiança, mesmo que não fosse assinado por uma autoridade certificadora confiável. Esta vulnerabilidade afeta o LXD quando ele está no modo PKI, que é ativado quando um arquivo `server.ca` está presente em `LXD DIR` na inicialização. O impacto é considerado baixo, pois é improvável que o modo PKI tenha uma grande base de usuários e a autenticação não é totalmente contornada, já que o certificado do cliente já deve ser confiável. O número estimado de dispositivos potencialmente afetados não foi especificado.
Os detalhes técnicos sobre o problema incluem o fato de que o campo `ClientAuth` de `tls.Config` está definido como `tls.RequestClientCert`, o que configura a conexão TLS para solicitar um certificado do cliente, mas não exigir um. Se um cliente enviar um certificado não assinado por uma CA durante o handshake TLS e o certificado estiver presente no armazenamento de confiança, o cliente poderá se autenticar no LXD. Isso pode ser demonstrado usando um cliente manual como o `cURL`, que envia o certificado durante o handshake.
Recomendações:
Para as versões 4.0 a 5.21.1 do LXD, atualize para a versão 5.21.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao armazenamento de confiança para minimizar o risco de exploração. Além disso, evite usar certificados não assinados por uma CA no modo PKI até que t