Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02270

Опубликовано: 03 апр. 2023
Источник: fstec
CVSS3: 8.7
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость СУБД SpiceDB связана с недостатками механизма формирования отчетов об ошибках при обработке конечной точки /debug/pprof/cmdline с параметром --grpc-preshared-key. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Authzed, Inc.

Наименование ПО

SpiceDB

Версия ПО

до 1.19.1 (SpiceDB)

Тип ПО

СУБД

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/authzed/spicedb/releases/tag/v1.19.1
https://github.com/authzed/spicedb/commit/9bbd7d76b6eaba33fe0236014f9b175d21232999
https://github.com/authzed/spicedb/security/advisories/GHSA-cjr9-mr35-7xh6
Компенсирующие меры:
1) Настройте предварительный ключ с помощью переменной среды (например SPICEDB_GRPC_PRESHARED_KEY=yoursecret spicedb serve )
2) Перенастройте --metrics-addr флаг для привязки к доверенной сети (например --metrics-addr=localhost:9090 )
3) Отключите службу метрик с помощью флага (например --metrics-enabled=false)
4) Используйте одну из рекомендуемых моделей развертывания: службу управления SpiceDB Serverless или SpiceDB Dedicated:
https://authzed.com/pricing
или
SpiceDB Operator:
https://github.com/authzed/spicedb-operator

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 51%
0.00279
Низкий

8.7 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-29193

CVSS3: 8.7
nvd
почти 3 года назад

SpiceDB is an open source, Google Zanzibar-inspired, database system for creating and managing security-critical application permissions. The `spicedb serve` command contains a flag named `--grpc-preshared-key` which is used to protect the gRPC API from being accessed by unauthorized requests. The values of this flag are to be considered sensitive, secret data. The `/debug/pprof/cmdline` endpoint served by the metrics service (defaulting running on port `9090`) reveals the command-line flags provided for debugging purposes. If a password is set via the `--grpc-preshared-key` then the key is revealed by this endpoint along with any other flags provided to the SpiceDB binary. This issue has been fixed in version 1.19.1. ### Impact All deployments abiding by the recommended best practices for production usage are **NOT affected**: - Authzed's SpiceDB Serverless - Authzed's SpiceDB Dedicated - SpiceDB Operator Users configuring SpiceDB via environment variables are **NOT affected**. Us

github логотип

GHSA-cjr9-mr35-7xh6

CVSS3: 8.1
github
почти 3 года назад

SpiceDB binding metrics port to untrusted networks and can leak command-line flags

EPSS

Процентиль: 51%
0.00279
Низкий

8.7 High

CVSS3

7.8 High

CVSS2