В zot, реестре образов контейнеров на основе Open Container Initiative Distribution Specification, обнаружена уязвимость, связанная с раскр…
В zot, реестре образов контейнеров на основе Open Container Initiative Distribution Specification, обнаружена уязвимость, связанная с раскрытием секретов при использовании Keycloak в качестве провайдера oidc [1]. Уязвимость затрагивает версии zot до 2.1.3. Для устранения уязвимости рекомендуется обновить zot до версии 2.1.3 или выше. Источники: - [1] https://github.com/project-zot/zot/security/advisories/GHSA-c37v-3c8w-crq8 - [2] https://github.com/project-zot/zot/commit/8a99a3ed231fdcd8467e986182b4705342b6a15e
Продукт записывает конфиденциальные сведения в файл журнала.
https://cwe.mitre.org/data/definitions/532.html →Открыть в коллекции CWE →Злоумышленник направляет случайные, некорректные или иным образом неожиданные сообщения целевому приложению и наблюдает за возвращаемыми журналами или сообщениями об ошибках приложения. Злоумышленник изначально не знает, как цель реагирует на отдельные сообщения, однако, перебирая большое количество вариантов сообщений, он может найти вариант, вызывающий желаемое поведение. В данной атаке целью фаззинга является наблюдение за журналом и сообщениями об ошибках приложения, хотя фаззинг цели иногда также может приводить к переходу цели в нестабильное состояние и её аварийному завершению.
https://capec.mitre.org/data/definitions/215.html →Открыть в коллекции CAPEC →