В IBM MQ Operator LTS 2.0.0 через 2.0.29, MQ Operator CD 3.0.0, 3.0.1, 3.1.0 через 3.1.3, 3.3.0, 3.4.0, 3.4.1, 3.5.0, 3.5.1 через 3.5.3, и …
В IBM MQ Operator LTS 2.0.0 через 2.0.29, MQ Operator CD 3.0.0, 3.0.1, 3.1.0 через 3.1.3, 3.3.0, 3.4.0, 3.4.1, 3.5.0, 3.5.1 через 3.5.3, и MQ Operator SC2 3.2.0 через 3.2.12 Native HA CRR может быть настроен с закрытым ключом и цепочкой, отличными от предполагаемых, что может раскрыть конфиденциальную информацию или позволить злоумышленнику выполнить неавторизованные действия. IBM рекомендует применить последние образы контейнеров [1]. Источники: - [1] https://www.ibm.com/support/pages/node/7236608
Продукт не проверяет или некорректно проверяет сертификат.
https://cwe.mitre.org/data/definitions/295.html →Открыть в коллекции CWE →Злоумышленник эксплуатирует слабость, возникающую вследствие применения хеш-алгоритма с низкой устойчивостью к коллизиям, для генерации запросов на подпись сертификата (CSR), содержащих блоки коллизий в разделах «подписываемых данных». Злоумышленник отправляет один CSR на подписание доверенному удостоверяющему центру, а затем использует подписанный блок для того, чтобы второй сертификат выглядел подписанным тем же удостоверяющим центром. Вследствие хеш-коллизии оба сертификата, будучи различными, дают одно и то же хеш-значение, и подписанный блок одинаково работает с обоими сертификатами. В итоге второй сертификат X.509 злоумышленника, который удостоверяющий центр никогда не видел, оказывается подписанным и верифицированным этим удостоверяющим центром.
https://capec.mitre.org/data/definitions/459.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует криптографическую слабость в реализации алгоритма проверки подписи для генерации действительной подписи без знания ключа.
https://capec.mitre.org/data/definitions/475.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| mq_operator | * | Отслеживается |
| supplied_mq_advanced_container_images | * | Отслеживается |