Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04193

Опубликовано: 18 апр. 2023
Источник: fstec
CVSS3: 5.5
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость библиотеки aws-sigv4 средства сбора, обработки и передачи метрик Vector связана с недостаточной защитой регистрационных данных при обработке структуры aws_sigv4::SigningParams. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Вендор

Amazon
Datadog Inc.

Наименование ПО

aws-sigv4
Vector

Версия ПО

0.55.0 (aws-sigv4)
0.54.1 (aws-sigv4)
0.53.1 (aws-sigv4)
0.52.0 (aws-sigv4)
0.51.0 (aws-sigv4)
0.50.0 (aws-sigv4)
0.49.0 (aws-sigv4)
0.48.0 (aws-sigv4)
0.47.0 (aws-sigv4)
0.46.0 (aws-sigv4)
0.15.0 (aws-sigv4)
0.14.0 (aws-sigv4)
0.13.0 (aws-sigv4)
0.12.0 (aws-sigv4)
0.11.0 (aws-sigv4)
0.10.1 (aws-sigv4)
0.9.0 (aws-sigv4)
0.8.0 (aws-sigv4)
0.7.0 (aws-sigv4)
0.6.0 (aws-sigv4)
0.5.2 (aws-sigv4)
0.4.1 (aws-sigv4)
0.3.0 (aws-sigv4)
0.2.0 (aws-sigv4)
до 0.30.0 включительно (Vector)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://crates.io/crates/aws-sigv4/versions
https://github.com/awslabs/aws-sdk-rust/security/advisories/GHSA-mjv9-vp6w-3rc9

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 29%
0.00106
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-30610

CVSS3: 5.5
nvd
почти 3 года назад

aws-sigv4 is a rust library for low level request signing in the aws cloud platform. The `aws_sigv4::SigningParams` struct had a derived `Debug` implementation. When debug-formatted, it would include a user's AWS access key, AWS secret key, and security token in plaintext. When TRACE-level logging is enabled for an SDK, `SigningParams` is printed, thereby revealing those credentials to anyone with access to logs. All users of the AWS SDK for Rust who enabled TRACE-level logging, either globally (e.g. `RUST_LOG=trace`), or for the `aws-sigv4` crate specifically are affected. This issue has been addressed in a set of new releases. Users are advised to upgrade. Users unable to upgrade should disable TRACE-level logging for AWS Rust SDK crates.

github логотип

GHSA-mjv9-vp6w-3rc9

CVSS3: 5.5
github
почти 3 года назад

AWS SDK for Rust will log AWS credentials when TRACE-level logging is enabled for request sending

EPSS

Процентиль: 29%
0.00106
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2