Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-01413

Опубликовано: 11 мая 2023
Источник: fstec
CVSS3: 4.3
CVSS2: 4
EPSS Низкий

Описание

Уязвимость хранилища параметров конфигурации Etcd связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.
ООО «Ред Софт»
АО «ИВК»
Cloud Native Computing Foundation
АО "НППКТ"

Наименование ПО

Red Hat Storage
РЕД ОС
Альт 8 СП
Red Hat OpenShift Container Platform
Red Hat OpenStack Platform
АЛЬТ СП 10
Etcd
ОСОН ОСнова Оnyx

Версия ПО

3 (Red Hat Storage)
7.3 (РЕД ОС)
- (Альт 8 СП)
4 (Red Hat OpenShift Container Platform)
16.2 (Red Hat OpenStack Platform)
17.0 (Red Hat OpenStack Platform)
16.1 (Red Hat OpenStack Platform)
- (АЛЬТ СП 10)
до 3.4.26 (Etcd)
от 3.5.0 до 3.5.9 (Etcd)
до 3.1 (ОСОН ОСнова Оnyx)

Тип ПО

Прикладное ПО информационных систем
Операционная система
ПО программно-аппаратного средства
Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 3.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Etcd:
https://github.com/etcd-io/etcd/pull/15656
Для РедоС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-32082
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Альт 8 СП(релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения etcd до версии 3.5.16-4

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 47%
0.00239
Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20250203-02

CVSS3: 4.3
redos
около 1 года назад

Уязвимость etcd

ubuntu логотип

CVE-2023-32082

CVSS3: 3.1
ubuntu
почти 3 года назад

etcd is a distributed key-value store for the data of a distributed system. Prior to versions 3.4.26 and 3.5.9, the LeaseTimeToLive API allows access to key names (not value) associated to a lease when `Keys` parameter is true, even a user doesn't have read permission to the keys. The impact is limited to a cluster which enables auth (RBAC). Versions 3.4.26 and 3.5.9 fix this issue. There are no known workarounds.

redhat логотип

CVE-2023-32082

CVSS3: 3.1
redhat
почти 3 года назад

etcd is a distributed key-value store for the data of a distributed system. Prior to versions 3.4.26 and 3.5.9, the LeaseTimeToLive API allows access to key names (not value) associated to a lease when `Keys` parameter is true, even a user doesn't have read permission to the keys. The impact is limited to a cluster which enables auth (RBAC). Versions 3.4.26 and 3.5.9 fix this issue. There are no known workarounds.

nvd логотип

CVE-2023-32082

CVSS3: 3.1
nvd
почти 3 года назад

etcd is a distributed key-value store for the data of a distributed system. Prior to versions 3.4.26 and 3.5.9, the LeaseTimeToLive API allows access to key names (not value) associated to a lease when `Keys` parameter is true, even a user doesn't have read permission to the keys. The impact is limited to a cluster which enables auth (RBAC). Versions 3.4.26 and 3.5.9 fix this issue. There are no known workarounds.

msrc логотип

CVE-2023-32082

CVSS3: 4.3
msrc
почти 3 года назад

etcd key name can be accessed via LeaseTimeToLive API

EPSS

Процентиль: 47%
0.00239
Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2