PT-2020-16158 · Red Hat · Rhacm
Doran Moppert
·
Publicado
2020-11-23
·
Atualizado
2020-12-08
·
CVE-2020-25688
CVSS v3.1
3.5
Baixa
| Vetor | AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do rhacm anteriores à 2.0.5
Versões do rhacm anteriores à 2.1.0
Descrição
Foi identificada uma falha no provisionamento das APIs de serviços internos, que foram configuradas incorretamente utilizando um certificado de teste do repositório de código-fonte. Isso faz com que todas as instalações utilizem os mesmos certificados. Se um invasor puder observar o tráfego de rede interno de um cluster, ele poderá usar a chave privada para decodificar solicitações de API que deveriam ser protegidas por sessões TLS, obtendo potencialmente informações que, de outra forma, não conseguiria. Esses certificados não são usados para autenticação de serviço, portanto, não há possibilidade de suplantar identidade ou realizar ataques MITM ativos.
Recomendações
Para versões anteriores à 2.0.5, atualize para a versão 2.0.5 ou posterior para resolver o problema.
Para versões anteriores à 2.1.0, atualize para a versão 2.1.0 ou posterior para resolver o problema.
Correção
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Rhacm