PT-2021-5763 · Ceph+5 · Ceph+5

Sage Mctaggart

·

Publicado

2020-09-20

·

Atualizado

2026-03-20

·

CVE-2021-20288

CVSS v3.1

7.2

Alta

VetorAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Ceph anteriores à 14.2.20
Descrição
O problema está relacionado a uma falha no procedimento de autenticação da rede de armazenamento Ceph, que pode ser explorada por um invasor remoto para acessar dados confidenciais, comprometer a integridade dos dados e causar uma negação de serviço. A vulnerabilidade permite a reutilização de chaves quando o monitor processa solicitações CEPHX GET AUTH SESSION KEY, possibilitando que um invasor solicite um global id previamente associado a outro usuário. Isso representa uma ameaça significativa à confidencialidade, integridade e disponibilidade dos dados.
Recomendações
Para versões anteriores à 14.2.20, atualize para a versão 14.2.20 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao manipulador de solicitações CEPHX GET AUTH SESSION KEY para minimizar o risco de exploração. Além disso, evite reutilizar valores global id associados a outros usuários até que o problema seja resolvido.

Exploit

Correção

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-287

Identificadores relacionados

ALT-PU-2020-2845
ALT-PU-2021-1683
ALT-PU-2021-1709
ALT-PU-2021-1748
ALT-PU-2021-1805
ALT-PU-2021-1830
ALT-PU-2021-1990
ALT-PU-2021-2332
ALT-PU-2022-1240
BDU:2022-00208
BIT-CEPH-2021-20288
CVE-2021-20288
DLA-3629-1
MGASA-2021-0207
OESA-2022-1715
OPENSUSE-SU-2021:0672-1
OPENSUSE-SU-2021_0672-1
OPENSUSE-SU-2024:10649-1
OPENSUSE-SU-2024:10676-1
RHSA-2021:2445
RHSA-2022:1394
SUSE-SU-2021:1472-1
SUSE-SU-2021:1473-1
SUSE-SU-2021:1474-1
SUSE-SU-2021_1473-1
SUSE-SU-2021_1474-1
USN-4998-1
USN-5128-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Suse
Ubuntu
Ceph