OpenBao предоставляет программное решение для управления, хранения и распространения конфиденциальных данных, включая секреты, сертификаты …

OpenBao предоставляет программное решение для управления, хранения и распространения конфиденциальных данных, включая секреты, сертификаты и ключи. В версиях 2.3.1 и ниже OpenBao допускал назначение политик и атрибуции MFA на основе псевдонимов сущностей, выбранных основным методом аутентификации. При использовании параметра username_as_alias=true в методе аутентификации LDAP предоставленное пользователем имя использовалось дословно без нормализации, что позволяло злоумышленнику обойти требования MFA, специфичные для псевдонима [1]. Эта проблема была исправлена в версии 2.3.2. Чтобы обойти эту проблему, удалите все использования параметра username_as_alias=true и обновите псевдонимы сущностей соответствующим образом. Источники: - [1] https://github.com/openbao/openbao/security/advisories/GHSA-2q8q-8fgw-9p6p - [2] https://github.com/openbao/openbao/commit/c52795c1ef746c7f2c510f9225aa8ccbbd44f9fc - [3] https://discuss.hashicorp.com/t/hcsec-2025-20-vault-ldap-mfa-enforcement-bypass-when-using-username-as-alias/76092