CVE-2023-46739

Versões do CubeFS anteriores à 3.3.1

Foi identificada uma vulnerabilidade no componente mestre do CubeFS que poderia permitir que um invasor mal-intencionado roubasse senhas de usuários por meio de um ataque de temporização. A causa principal do problema era o fato de o CubeFS utilizar a comparação direta de strings para as senhas. A parte vulnerável do CubeFS era o UserService do componente mestre, que é instanciado ao iniciar o servidor do componente mestre. Não há evidências de que essa vulnerabilidade tenha sido explorada na prática. O problema foi descoberto durante uma auditoria de segurança.

Para versões anteriores à 3.3.1, atualize para a versão 3.3.1 ou posterior para resolver o problema. Como solução temporária, considere desativar a função UserService até que um patch esteja disponível. Restrinja o acesso ao componente mestre para minimizar o risco de exploração. Evite usar o UserService até que o problema seja resolvido.