OpenSearch Data Prepper в качестве сборщика данных с открытым исходным кодом для данных наблюдательности. В версиях до 2.12.2 поглотитель и…
OpenSearch Data Prepper в качестве сборщика данных с открытым исходным кодом для данных наблюдательности. В версиях до 2.12.2 поглотитель и исходные плагины OpenSearch в Data Prepper доверяют всем SSL-сертификатам по умолчанию, когда не предусмотрен путь сертификата. До этого исправления поглотитель и исходные плагины OpenSearch автоматически использовали стратегию доверия при подключении к кластерам OpenSearch, если бы путь сертификата явно не был настроен. Такое поведение обходит проверку SSL-сертификата, потенциально позволяя злоумышленникам перехватывать и изменять данные в пути через атаки «человек в середине». Уязвимость влияет на соединения с OpenSearch, когда параметр сертификата явно не предусмотрен. Этот вопрос исправлен в версии 2.12.2. В качестве обходного пути пользователи могут добавить параметр сертификата в свою конфигурацию раковины OpenSearch или источника с помощью пути к сертификату CA кластера.
Продукт не проверяет или некорректно проверяет сертификат.
https://cwe.mitre.org/data/definitions/295.html →Открыть в коллекции CWE →Злоумышленник эксплуатирует слабость, возникающую вследствие применения хеш-алгоритма с низкой устойчивостью к коллизиям, для генерации запросов на подпись сертификата (CSR), содержащих блоки коллизий в разделах «подписываемых данных». Злоумышленник отправляет один CSR на подписание доверенному удостоверяющему центру, а затем использует подписанный блок для того, чтобы второй сертификат выглядел подписанным тем же удостоверяющим центром. Вследствие хеш-коллизии оба сертификата, будучи различными, дают одно и то же хеш-значение, и подписанный блок одинаково работает с обоими сертификатами. В итоге второй сертификат X.509 злоумышленника, который удостоверяющий центр никогда не видел, оказывается подписанным и верифицированным этим удостоверяющим центром.
https://capec.mitre.org/data/definitions/459.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует криптографическую слабость в реализации алгоритма проверки подписи для генерации действительной подписи без знания ключа.
https://capec.mitre.org/data/definitions/475.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| opensearch_data_prepper | * | Отслеживается |