PT-2024-32464 · Dozzle+1 · Dozzle+1
Mohammed90
·
Publicado
2024-09-27
·
Atualizado
2024-11-05
·
CVE-2024-47182
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Dozzle anteriores à 8.5.3
Descrição
O problema diz respeito ao uso de um hash inseguro para senhas. Especificamente, o aplicativo usa o sha-256, que é suscetível a ataques de tabela arco-íris devido ao seu design como um hash de resumo de mensagem rápido. Isso deixa os usuários vulneráveis. O aplicativo muda para o bcrypt, um hash mais seguro para senhas, na versão 8.5.3. Trata-se de um visualizador de logs em tempo real para contêineres Docker.
Recomendações
Para versões anteriores à 8.5.3, atualize para a versão 8.5.3 ou posterior, que utiliza o bcrypt para o hash de senhas, a fim de mitigar o risco de ataques de tabela arco-íris. Como solução temporária, considere restringir o acesso a áreas confidenciais do aplicativo até que a atualização possa ser aplicada.
Exploit
Correção
Inadequate Encryption Strength
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Dozzle
Suse