Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06016

Опубликовано: 17 июл. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость вызова AssumeRoleWithWebIdentity службы Security Token Service (AWS STS) единого API для взаимодействия со службами хранения объектов и локальными файлами Apache Arrow Rust Object Store связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации путем записи в журнал ошибки запроса с URL-адресом и учетными данными

Вендор

Apache Software Foundation

Наименование ПО

Arrow Rust Object Store

Версия ПО

от 0.5.0 до 0.10.1 включительно (Arrow Rust Object Store)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://lists.apache.org/thread/3t0povdppnt2czv6crlsqhvyko93kcrg
https://github.com/apache/arrow-rs/releases/tag/object_store_0.10.2
https://crates.io/crates/object_store/versions
Компенсирующие меры:
- использование другого механизма аутентификации AWS;
- отключение ведения журнала.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 52%
0.00289
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-41178

CVSS3: 7.5
nvd
больше 1 года назад

Exposure of temporary credentials in logs in Apache Arrow Rust Object Store (`object_store` crate), version 0.10.1 and earlier on all platforms using AWS WebIdentityTokens.  On certain error conditions, the logs may contain the OIDC token passed to AssumeRoleWithWebIdentity https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html . This allows someone with access to the logs to impersonate that identity, including performing their own calls to AssumeRoleWithWebIdentity, until the OIDC token expires. Typically OIDC tokens are valid for up to an hour, although this will vary depending on the issuer. Users are recommended to use a different AWS authentication mechanism, disable logging or upgrade to version 0.10.2, which fixes this issue. Details: When using AWS WebIdentityTokens with the object_store crate, in the event of a failure and automatic retry, the underlying reqwest error, including the full URL with the credentials, potentially in the param

github логотип

GHSA-c2hf-vcmr-qjrf

CVSS3: 3.8
github
больше 1 года назад

Apache Arrow Rust Object Store: AWS WebIdentityToken exposure in log files

EPSS

Процентиль: 52%
0.00289
Низкий

7.5 High

CVSS3

7.8 High

CVSS2