OpenBao - это система управления секретами с открытым исходным кодом. До 2.5.3, когда первоначальное удаление пространства имен OpenBao тер…
OpenBao - это система управления секретами с открытым исходным кодом. До 2.5.3, когда первоначальное удаление пространства имен OpenBao терпит неудачу, последующие повторы не могут должным образом удалить все данные, прежде чем пометить пространство имен как удаленное. Это может повлиять на любую непогашенную аренду, а также потенциально оставить несвязанные записи для хранения. Эта уязвимость зафиксирована в 2.5.3.
Продукт сохраняет, передаёт или предоставляет ресурс, содержащий конфиденциальную информацию, однако не удаляет её должным образом до того, как делает ресурс доступным для неавторизованных субъектов.
https://cwe.mitre.org/data/definitions/212.html →Открыть в коллекции CWE →Злоумышленник эксплуатирует функциональность альтернативных потоков данных (ADS) Microsoft NTFS для подрыва безопасности системы. ADS позволяют хранить несколько «файлов» в одной записи каталога, на которые ссылаются в формате имя_файла:имя_потока. Один или несколько альтернативных потоков данных могут храниться в любом файле или каталоге. Стандартные утилиты Microsoft не отображают наличие потока ADS, присоединённого к файлу. Дополнительное пространство для ADS не учитывается в отображаемом размере файла. Дополнительное пространство для ADS включается в занятое пространство тома. Поток ADS может быть файлом любого типа. Потоки ADS копируются стандартными утилитами Microsoft между томами NTFS. Злоумышленник или нарушитель может использовать ADS для сокрытия инструментов, сценариев и данных от обнаружения стандартными системными утилитами. Многие антивирусные программы не проверяют потоки ADS и не сканируют их. В Windows Vista в командной строке DIR есть ключ (-R), отображающий альтернативные потоки.
https://capec.mitre.org/data/definitions/168.html →Открыть в коллекции CAPEC →