Vulnérabilité dans la solution de stockage Ceph
Date de publication :
CVE-2021-20288 [Score CVSS v3 : 7.2]
Une faille d'authentification a été corrigée dans Ceph. Lorsque le moniteur traite les requêtes CEPHX_GET_AUTH_SESSION_KEY, il ne nettoie pas les clés précendentes, ce qui peut permettre la réutilisation des clés. Un attaquant distant et pouvant demander un global_id peut demander un global_id précédemment associé à un autre utilisateur, car ceph ne force pas la réutilisation d'anciennes clés pour en générer de nouvelles. La menace la plus importante de cette vulnérabilité concerne la confidentialité et l'intégrité des données ainsi que la disponibilité du système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Contournement d’authentification
Criticité
- Score CVSS v3 : 7.2
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Les versions de Ceph antérieures à 14.2.20 sont impactées par cette vulnérabilité.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Ceph vers la version 14.2.20 ou ultérieures.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.