PT-2024-10044 · Rancher+1 · Rancher+1
Guilherme Macedo
·
Publicado
2024-10-25
·
Atualizado
2024-11-13
·
CVE-2022-45157
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Rancher anteriores à 2.8.9
Versões do Rancher anteriores à 2.9.3
Versões do Rancher 2.7.0 a 2.7.x
Descrição
Foi identificada uma vulnerabilidade na forma como o Rancher armazena as credenciais CPI (Cloud Provider Interface) e CSI (Container Storage Interface) do vSphere, utilizadas para implantar clusters por meio do provedor de nuvem vSphere. Esse problema faz com que as senhas CPI e CSI do vSphere sejam armazenadas em um objeto de texto simples dentro do Rancher. As senhas expostas estavam acessíveis nos seguintes objetos:
provisioning.cattle.io em spec.rkeConfig.chartValues.rancher-vsphere-cpi e spec.rkeConfig.chartValues.rancher-vsphere-csi, e rke.cattle.io.rkecontrolplane em spec.chartValues. rancher-vsphere-cpi e spec.chartValues.rancher-vsphere-csi. A vulnerabilidade se aplica apenas a usuários que implantam clusters em ambientes vSphere.Recomendações
Para versões do Rancher anteriores à 2.8.9, atualize para a versão 2.8.9 ou posterior e execute o script fornecido nas ferramentas de suporte para mitigar quaisquer credenciais vulneráveis remanescentes de clusters vSphere.
Para versões do Rancher anteriores à 2.9.3, atualize para a versão 2.9.3 ou posterior e execute o script fornecido nas ferramentas de suporte para mitigar quaisquer credenciais vulneráveis remanescentes de clusters vSphere.
Para versões do Rancher 2.7.0 a 2.7.x, atualize para uma das versões corrigidas seguindo o procedimento de atualização padrão com base na versão 2.7 que está sendo usada.
Habilite o `provisionin
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rancher
Suse