PT-2021-23584 · Dask · Dask
Jcrist
·
Publicado
2021-10-26
·
Atualizado
2026-06-16
·
CVE-2021-42343
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Dask anteriores à 2021.10.0
Descrição
Foi descoberta uma falha no Dask em que clusters de Dask em uma única máquina iniciados com
dask.distributed.LocalCluster ou dask.distributed.Client configuravam erroneamente seus respectivos workers do Dask para escutar em interfaces externas, em vez de apenas no localhost. Um cluster do Dask criado usando esse método poderia ser usado por um invasor sofisticado para executar código remotamente, caso a máquina tivesse uma porta vulnerável exposta.Recomendações
Para versões anteriores à 2021.10.0, atualize para a versão 2021.10.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos workers do Dask para minimizar o risco de exploração. Evite usar
dask.distributed.LocalCluster ou dask.distributed.Client em máquinas com portas expostas até que o problema seja resolvido.Correção
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dask