CVE-2024-6156

Nome do software vulnerável e versões afetadas:

Versões do LXD 4.0 a 5.21.1

Descrição:

Foi detectada uma falha de segurança no modo PKI do LXD, na qual o certificado de um cliente poderia ser usado para contornar a autenticação caso estivesse presente no repositório de confiança, mesmo que não fosse assinado por uma autoridade certificadora confiável. Esta vulnerabilidade afeta o LXD quando ele está no modo PKI, que é ativado quando um arquivo server.ca está presente em LXD DIR na inicialização. O impacto é considerado baixo, pois é improvável que o modo PKI tenha uma grande base de usuários e a autenticação não é totalmente contornada, já que o certificado do cliente já deve ser confiável. O número estimado de dispositivos potencialmente afetados não foi especificado.

Os detalhes técnicos sobre o problema incluem o fato de que o campo ClientAuth de tls.Config está definido como tls.RequestClientCert, o que configura a conexão TLS para solicitar um certificado do cliente, mas não exigir um. Se um cliente enviar um certificado não assinado por uma CA durante o handshake TLS e o certificado estiver presente no armazenamento de confiança, o cliente poderá se autenticar no LXD. Isso pode ser demonstrado usando um cliente manual como o cURL, que envia o certificado durante o handshake.

Recomendações:

Para as versões 4.0 a 5.21.1 do LXD, atualize para a versão 5.21.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao armazenamento de confiança para minimizar o risco de exploração. Além disso, evite usar certificados não assinados por uma CA no modo PKI até que t