PT-2020-6551 · Ceph+5 · Ceph+5

Goutham Pacha Ravi

+2

·

Publicado

2020-11-12

·

Atualizado

2024-06-15

·

CVE-2020-27781

CVSS v3.1

7.1

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do Ceph anteriores à 14.2.16
Versões do Ceph 15.x anteriores à 15.2.8
Versões do Ceph 16.x anteriores à 16.2.0
Descrição
A vulnerabilidade permite que credenciais de usuário sejam manipuladas e roubadas por consumidores nativos do CephFS do OpenStack Manila, podendo levar à escalada de privilégios. Um invasor pode solicitar acesso a um compartilhamento como um usuário cephx arbitrário, incluindo usuários existentes, e recuperar a chave de acesso por meio de drivers de interface. Todos os usuários do projeto OpenStack solicitante podem então visualizar a chave de acesso, permitindo que o invasor tenha como alvo qualquer recurso ao qual o usuário tenha acesso, incluindo os dos usuários “admin”, comprometendo assim o administrador do Ceph.
Recomendações
Para versões do Ceph anteriores à 14.2.16, atualize para a versão 14.2.16 ou posterior.
Para versões do Ceph 15.x anteriores à 15.2.8, atualize para a versão 15.2.8 ou posterior.
Para versões do Ceph 16.x anteriores à 16.2.0, atualize para a versão 16.2.0 ou posterior.

Correção

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-522

Identificadores relacionados

ALT-PU-2020-3537
ALT-PU-2020-3555
ALT-PU-2021-1169
BDU:2021-06304
CVE-2020-27781
DLA-3629-1
OESA-2021-1317
OPENSUSE-SU-2020:2327-1
OPENSUSE-SU-2020_2327-1
OPENSUSE-SU-2021:0079-1
OPENSUSE-SU-2021_0079-1
OPENSUSE-SU-2024:11652-1
RHSA-2021:0081
RHSA-2021:1518
SUSE-SU-2020:3895-1
SUSE-SU-2020_3895-1
SUSE-SU-2021:0023-1
SUSE-SU-2021_0023-1
USN-4998-1
USN-5128-1

Produtos afetados

Alt Linux
Ceph
Linuxmint
Openstack Manila
Suse
Ubuntu