В OpenBao (версии 2.2.0‑2.4.1) журнал аудита записывал необработанные тела HTTP‑запросов без корректного HMAC‑подавления (см. [1]). Это поз…
В OpenBao (версии 2.2.0‑2.4.1) журнал аудита записывал необработанные тела HTTP‑запросов без корректного HMAC‑подавления (см. [1]). Это позволяло раскрыть короткоживущие коды проверки ACME и ответы OIDC‑токенов в логах, что может быть использовано для получения конфиденциальных данных (см. [2]). Проблема исправлена в версии 2.4.2; при невозможности обновления рекомендуется отключить функции ACME и OIDC, если они не нужны (см. [1]). Источники: - [1] https://github.com/openbao/openbao/security/advisories/GHSA-ghfh-fmx4-26h8 - [2] https://github.com/openbao/openbao/commit/cc2c476bac66e1d94776c2629793daec3af625f8
Продукт записывает конфиденциальные сведения в файл журнала.
https://cwe.mitre.org/data/definitions/532.html →Открыть в коллекции CWE →Злоумышленник направляет случайные, некорректные или иным образом неожиданные сообщения целевому приложению и наблюдает за возвращаемыми журналами или сообщениями об ошибках приложения. Злоумышленник изначально не знает, как цель реагирует на отдельные сообщения, однако, перебирая большое количество вариантов сообщений, он может найти вариант, вызывающий желаемое поведение. В данной атаке целью фаззинга является наблюдение за журналом и сообщениями об ошибках приложения, хотя фаззинг цели иногда также может приводить к переходу цели в нестабильное состояние и её аварийному завершению.
https://capec.mitre.org/data/definitions/215.html →Открыть в коллекции CAPEC →