CVE-2022-35980

OpenSearch Security, versões 2.0.0.0 a 2.1.0.0

O problema diz respeito a uma vulnerabilidade de divulgação de informações no OpenSearch Security, um plug-in para o OpenSearch que fornece criptografia, autenticação e autorização. Quando um cluster do OpenSearch é configurado com recursos avançados de controle de acesso, como segurança no nível do documento (DLS), segurança no nível do campo (FLS) e/ou mascaramento de campos, as solicitações não serão filtradas se o padrão de pesquisa da consulta corresponder a um índice com alias. Como o OpenSearch Dashboards cria um alias para .kibana por padrão, filtros com o padrão de índice * para restringir o acesso a documentos ou campos não serão aplicados, permitindo que solicitações acessem informações confidenciais apesar das restrições de acesso.

Para as versões 2.0.0.0 e 2.1.0.0, atualize para o OpenSearch Security 2.2.0.0, que é compatível com o OpenSearch 2.2.0 e contém a correção para este problema.

Como solução alternativa temporária, considere restringir o acesso ao alias .kibana para minimizar o risco de exploração.

Evite usar o padrão de índice * em filtros para restringir o acesso a documentos ou campos até que o problema seja resolvido.