用于敏感数据的不安全随机字符串生成器 (CVE-2023-46740)
CVE编号
CVE-2023-46740利用情况
暂无补丁情况
N/A披露时间
2024-01-04漏洞描述
CubeFS是一个开源的云原生文件存储系统。在版本3.3.1之前,CubeFS使用了一个不安全的随机字符串生成器来生成用户特定的敏感密钥,用于在CubeFS部署中对用户进行身份认证。这可能允许攻击者预测和/或猜测生成的字符串,并冒充用户以获得更高的权限。当CubeFS创建新用户时,它会为该用户创建一个名为“accessKey”的敏感信息。为了创建“accessKey”,CubeFS使用了不安全的字符串生成器,这使得猜测和冒充创建的用户变得容易。攻击者可以利用可预测的随机字符串生成器猜测用户的访问密钥,并冒充用户以获得更高的权限。该问题已在v3.3.1中修复。除了升级外,没有其他解决方法。解决建议
"将 github.com/cubefs/cubefs 升级至 3.3.1 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/cubefs/cubefs/commit/8555c6402794cabdf2cc025c8bea1576122c07ba | |
| https://github.com/cubefs/cubefs/security/advisories/GHSA-4248-p65p-hcrm |
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 无
- 影响范围 已更改
- 用户交互 无
- 可用性 低
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-330 | 使用不充分的随机数 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论