PT-2020-14197 · Coreos+1 · Etcd+1
Spzala
·
Publicado
2020-08-05
·
Atualizado
2022-11-21
·
CVE-2020-15115
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do etcd anteriores à 3.3.23
Versões do etcd anteriores à 3.4.10
Descrição
A vulnerabilidade permite senhas muito curtas, como aquelas com comprimento de um caractere, o que pode permitir que um invasor adivinhe ou use força bruta para descobrir as senhas dos usuários com pouco esforço computacional. O etcdctl e a API do etcd não impõem um comprimento específico para a senha durante as operações de criação de usuário ou atualização de senha, tornando-se responsabilidade do administrador impor esses requisitos.
Recomendações
Para versões do etcd anteriores à 3.3.23, atualize para a versão 3.3.23 ou posterior para resolver o problema.
Para versões do etcd anteriores à 3.4.10, atualize para a versão 3.4.10 ou posterior para resolver o problema.
Como solução alternativa temporária, considere aplicar manualmente políticas de senhas fortes e requisitos de comprimento até que um patch seja aplicado.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Etcd