CVE-2022-29186

Versões 4.0 e anteriores do Rundeck

O Rundeck é um serviço de automação de código aberto que inclui um console web, ferramentas de linha de comando e uma WebAPI. As imagens Docker da comunidade Rundeck e do rundeck-enterprise continham um par de chaves SSH pré-gerado. Se a chave pública id rsa.pub do par de chaves fosse copiada para os arquivos authorized keys em hosts remotos, esses hosts permitiriam acesso a qualquer pessoa com as credenciais privadas expostas. Essa configuração incorreta afeta apenas instâncias do Rundeck no Docker, não no Debian, RPM ou .WAR. Um patch no ramo main do Rundeck removeu o par de chaves SSH pré-gerado, mas não remove as chaves expostas que já foram configuradas.

Para aplicar o patch, os usuários devem executar um script nos hosts de seu ambiente para procurar chaves expostas e renová-las.

Não use nenhum arquivo de chave pública pré-existente das imagens Docker do Rundeck para permitir o acesso SSH adicionando-o aos arquivos authorized keys.

Se você copiou o arquivo de chave pública incluído na imagem Docker, remova-o de todos os arquivos authorized keys.