PT-2022-27770 · Traefik+1 · Traefik+1
Publicado
2022-12-08
·
Atualizado
2024-08-21
·
CVE-2022-46153
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Traefik anteriores à 2.9.6
Descrição
Existe um problema potencial no gerenciamento de conexões TLS do Traefik. Um roteador configurado com um
TLSOption mal formatado fica exposto com um TLSOption vazio. Por exemplo, uma rota protegida por uma conexão mTLS configurada com um arquivo CA incorreto fica exposta sem a verificação dos certificados do cliente.Recomendações
Para resolver o problema, atualize para a versão 2.9.6.
Se a atualização não for possível, verifique os logs para detectar mensagens de erro como:
-
CA vazia:
{“level”:“error”,“msg”:“invalid clientAuthType: RequireAndVerifyClientCert, CAFiles is required”,‘routerName’:“Router0@file”} -
Conteúdo inválido da CA (ou caminho inválido):
{“level”:“error”,“msg”:“conteúdo inválido do(s) certificado(s)”,‘routerName’:“Router0@file”} -
Tipo de autenticação do cliente desconhecido:
{“level”:“error”,“msg”:“tipo de autenticação do cliente desconhecido ”FooClientAuthType“”,‘routerName’:“Router0@file”} -
Conjuntos de criptografia inválidos:
{“level”:“error”,“msg”:“conjunto de criptografia inválido: foobar”,‘routerName’:“Router0@file”} -
Preferências de curva inválidas:
{“level”:“error”,“msg”:“CurveID inválido nas preferências de curva: foobar”,‘routerName’:“Router0@file”}
Corrija a
TLSOption para evitar a exposição com uma TLSOption vazia.Exploit
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Traefik