PT-2020-20241 · Canonical+4 · Cloud-Init+4

Dimitri John Ledkov

+1

·

Publicado

2020-02-05

·

Atualizado

2024-06-15

·

CVE-2020-8631

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do cloud-init anteriores à 19.4
Descrição
O problema está relacionado ao uso do Mersenne Twister para gerar senhas aleatórias, o que pode facilitar a previsão de senhas por parte de invasores. Isso ocorre porque a função rand str em cloudinit/util.py chama a função random.choice.
Recomendações
Para versões do cloud-init anteriores à 19.4, considere atualizar para uma versão que utilize um gerador de números aleatórios mais seguro para mitigar o risco de previsão de senhas. Como solução temporária, considere gerar senhas manualmente utilizando um método seguro até que uma versão corrigida esteja disponível.

Correção

Use of Insufficiently Random Values

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-330

Identificadores relacionados

ALT-PU-2020-1691
ALT-PU-2020-1866
CESA-2020_3898
CESA-2020_4650
CVE-2020-8631
DLA-2113-1
MGASA-2020-0295
OPENSUSE-SU-2020:0400-1
OPENSUSE-SU-2020_0400-1
OPENSUSE-SU-2024:10688-1
RHSA-2020:3898
RHSA-2020:4650
RHSA-2020_3898
RHSA-2020_4650
SUSE-SU-2020:0585-1
SUSE-SU-2020:0751-1
SUSE-SU-2020:0818-1
SUSE-SU-2020_0585-1
SUSE-SU-2020_0751-1
SUSE-SU-2020_0818-1

Produtos afetados

Alt Linux
Centos
Red Hat
Suse
Cloud-Init