OpenBao - это система управления секретами с открытым исходным кодом. До версии 2.5.3 метод аутентификации сертификата OpenBao, когда запра…

OpenBao - это система управления секретами с открытым исходным кодом. До версии 2.5.3 метод аутентификации сертификата OpenBao, когда запрашивается продление токена и устанавливается `dable_binding=true`, пытается проверить представленный текущий запрос сертификат mTLS соответствует оригиналу. Продление токенов для других методов аутентификации не требует какой-либо предоставленной информации для входа. Из-за неправильного соответствия метод аутентификации сертификата позволил бы продлить токены, для которых злоумышленник имел сертификат брата + ключ, подписанный тем же CA, но который не обязательно соответствовал первоначальной роли или первоначально предоставленному сертификату. Это означает, что злоумышленник все еще может аутентифицироваться на OpenBao в аналогичном объеме, однако продление токена подразумевает, что злоумышленник может продлить срок службы динамической аренды, удерживаемой оригинальным токеном. Эта атака требует знания либо оригинального токена, либо его аксессуара. Эта уязвимость является оригинальной от HashiCorp Vault. Об этом говорится в v2.5.3. В качестве обходного пути убедитесь, что привилегированные роли тесно связаны с едиными сертификатами.