Paul Calabro

**Nome do software vulnerável e versões afetadas** Versões 4.0 e anteriores do Rundeck **Descrição** O Rundeck é um serviço de automação de código aberto que inclui um console web, ferramentas de linha de comando e uma WebAPI. As imagens Docker da comunidade Rundeck e do rundeck-enterprise continham um par de chaves SSH pré-gerado. Se a chave pública `id rsa.pub` do par de chaves fosse copiada para os arquivos `authorized keys` em hosts remotos, esses hosts permitiriam acesso a qualquer pessoa com as credenciais privadas expostas. Essa configuração incorreta afeta apenas instâncias do Rundeck no Docker, não no Debian, RPM ou .WAR. Um patch no ramo `main` do Rundeck removeu o par de chaves SSH pré-gerado, mas não remove as chaves expostas que já foram configuradas. **Recomendações** Para aplicar o patch, os usuários devem executar um script nos hosts de seu ambiente para procurar chaves expostas e renová-las. Não use nenhum arquivo de chave pública pré-existente das imagens Docker do Rundeck para permitir o acesso SSH adicionando-o aos arquivos `authorized keys`. Se você copiou o arquivo de chave pública incluído na imagem Docker, remova-o de todos os arquivos `authorized keys`.