CVE-2022-31044

Versões 4.2.0 a 4.2.1 do Rundeck

O mecanismo do plug-in Key Storage Converter não estava habilitado corretamente, o que pode ter impedido o funcionamento da camada de criptografia do Key Storage. Quaisquer credenciais criadas ou sobrescritas usando as versões afetadas podem ter sido gravadas em texto simples no armazenamento de back-end. Isso afeta aqueles que utilizam qualquer plugin Storage Converter.

Para as versões 4.2.0 e 4.2.1 do Rundeck, a fim de evitar que credenciais em texto simples sejam armazenadas, o acesso de gravação ao armazenamento de chaves pode ser desativado por meio de ACLs.

Após a atualização para o Rundeck 4.3.1 ou versões posteriores, o acesso de gravação pode ser restaurado.

Atualize para o Rundeck 4.3.2, 4.2.3 ou 4.4.0 e versões posteriores, que corrigiram o código e recriptografarão quaisquer valores em texto simples após a atualização.