PT-2021-22237 · Wal-G · Wal-G
Sehrope
·
Publicado
2021-08-12
·
Atualizado
2022-07-12
·
CVE-2021-38599
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do WAL-G anteriores à 1.1
Descrição
O problema ocorre quando é utilizada uma compilação do WAL-G que não utilize a biblioteca libsodium, fazendo com que o programa ignore silenciosamente a chave de criptografia da libsodium e envie backups em texto simples. Esse comportamento é considerado uma violação do Princípio da Menor Surpresa, já que os usuários provavelmente pretendem criptografar todas as atividades relacionadas a arquivos.
Recomendações
Para versões anteriores à 1.1, atualize para a versão 1.1 ou posterior para garantir que os backups sejam criptografados corretamente. Como solução temporária, considere evitar o uso de compilações sem o libsodium até que uma versão segura esteja disponível.
Correção
Improper Check for Exceptional Conditions
Insecure Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Wal-G