PT-2022-12364 · Apache · Apache Kylin
Alvaro Munoz
·
Publicado
2022-01-06
·
Atualizado
2023-07-21
·
CVE-2021-45458
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 2.6.6 e anteriores do Apache Kylin
Versões 3.1.2 e anteriores do Apache Kylin
Versões 4.0.0 e anteriores do Apache Kylin
Descrição
O Apache Kylin fornece a classe de criptografia
PasswordPlaceholderConfigurer para ajudar os usuários a criptografar suas senhas. No algoritmo de criptografia utilizado por essa classe, a cifra é inicializada com uma chave e um IV (IV) codificados de forma rígida. Se os usuários utilizarem a classe PasswordPlaceholderConfigurer para criptografar suas senhas e configurá-la no arquivo de configuração do Kylin, existe o risco de que a senha seja descriptografada.Recomendações
Para as versões 2.6.6 e anteriores do Apache Kylin 2, considere desativar a classe
PasswordPlaceholderConfigurer até que um patch esteja disponível.Para as versões 3.1.2 e anteriores do Apache Kylin 3, considere desativar a classe
PasswordPlaceholderConfigurer até que um patch esteja disponível.Para as versões 4.0.0 e anteriores do Apache Kylin 4, considere desativar a classe
PasswordPlaceholderConfigurer até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Use of Insufficiently Random Values
Inadequate Encryption Strength
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Kylin