CVE-2024-35189

Versões do Fides anteriores à 2.37.0

O servidor web do Fides possui vários pontos de extremidade que recuperam registros ConnectionConfiguration e seus segredos associados, os quais podem conter dados confidenciais. Esses segredos são armazenados criptografados em repouso, e os pontos de extremidade associados não devem expor esses dados confidenciais em texto simples aos clientes da API. O aplicativo possui uma função interna que usa anotações sensitive para mascarar os campos confidenciais com um valor de preenchimento “**********”. Esse problema se deve a um bug nessa função, que impedia que campos do modelo de API sensitive aninhados abaixo do nível raiz de um objeto secrets fossem mascarados adequadamente. Apenas os segredos de configuração de conexão BigQuery atendem a esses critérios, com uma propriedade sensível aninhada keyfile creds.private key que é exposta em texto simples por meio das APIs. Os endpoints afetados incluem “GET /api/v1/connections”, “PATCH /api/v1/connections”, “GET /api/v1/connection/{connection key}”, “PATCH /api/v1/system/{system key}/connection”, “GET /api/v1/system/{system key}” e “GET /api/v1/system/{system key}/connection”.

Para resolver o problema, atualize para a versão 2.37.0 ou posterior do Fides. Além disso, renove quaisquer segredos do Google Cloud usados para integrações com o BigQuery nas implantações do Fides. Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade da API afetados até que o problema seja resolvido. Evite usar o `k