CVE-2021-32753

Versões do EdgeX Foundry de Edinburgh a Hanoi

Existe uma vulnerabilidade no EdgeX Foundry quando o gateway de API é configurado para autenticação OAuth2 e um usuário proxy é criado. Os parâmetros client id e client secret, necessários para obter um token de autenticação OAuth2, são definidos com o nome de usuário do usuário proxy. Um invasor remoto pode realizar um ataque de senha baseado em dicionário no endpoint do token OAuth2 do gateway de API para obter um token de autenticação OAuth2 e usar esse token para fazer chamadas autenticadas aos microsserviços do EdgeX a partir de uma rede não confiável. O OAuth2 é o método de autenticação padrão na versão Edinburgh do EdgeX, mas foi alterado para JWT na versão Fuji e nas versões posteriores.

Para as versões do EdgeX Foundry de Edinburgh a Hanoi, atualize para a versão EdgeX Ireland para obter a correção, pois o método de autenticação OAuth2 está desativado na versão Ireland.

Se não for possível atualizar e a autenticação OAuth2 for necessária, crie usuários OAuth2 diretamente usando a API de administração do Kong e evite o uso da ferramenta security-proxy-setup para criar usuários OAuth2.