PT-2024-38418 · Canonical+1 · Juju+1
Harry Pidcock
+2
·
Publicado
2024-10-02
·
Atualizado
2025-08-26
·
CVE-2024-7558
CVSS v3.1
8.7
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Juju anteriores à 2.9.51
Versões do Juju anteriores à 3.1.10
Versões do Juju anteriores à 3.3.7
Versões do Juju anteriores à 3.4.6
Versões do Juju anteriores à 3.5.4
Descrição
O
JUJU CONTEXT ID é um segredo de autenticação previsível. Em uma máquina Juju ou contêiner de charm do Juju, um usuário sem privilégios no mesmo namespace de rede pode se conectar a um soquete de domínio abstrato e adivinhar o valor do JUJU CONTEXT ID. Isso dá ao usuário sem privilégios acesso às mesmas informações e ferramentas que o charm do Juju. O JUJU CONTEXT ID possui componentes que incluem o nome do aplicativo, o número da unidade, o gancho atual e um número decimal uint63. O gerador de números aleatórios utilizado não é criptograficamente seguro, tornando-o altamente previsível. Não há limitação de taxa no soquete de domínio abstrato, permitindo que um usuário sem privilégios tente múltiplas conexões.Recomendações
Para versões anteriores à 2.9.51, atualize para a versão 2.9.51 ou posterior.
Para versões anteriores à 3.1.10, atualize para a versão 3.1.10 ou posterior.
Para versões anteriores à 3.3.7, atualize para a versão 3.3.7 ou posterior.
Para versões anteriores à 3.4.6, atualize para a versão 3.4.6 ou posterior.
Para versões anteriores à 3.5.4, atualize para a versão 3.5.4 ou posterior.
Correção
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Suse
Juju