Error CVE en Ceph

vulnerabilidad

Se encontró una falla en ceph en versiones anteriores a 16.yz donde ceph almacena las contraseñas del módulo mgr en texto sin cifrar.

Esto se puede encontrar buscando en los registros de mgr para grafana y tablero, con las contraseñas visibles.

Las contraseñas de los módulos de Mgr están en texto claro en los registros de mgr, visibles como texto sin formato con sudo.

Varios módulos mgr necesitan que se establezcan contraseñas por una razón u otra, ya sea para autenticarse con sistemas externos (mar profundo, influjo, predicción de disco) o para definir credenciales para los usuarios de esos módulos (tablero, descanso).

En todos los casos, estas contraseñas se establecen desde la línea de comandos, ya sea a través de comandos específicos del módulo ( `ceph dashboard ac-user-create`, `deepsea config-set salt_api_password`, etc.) o a través de `ceph config set`con alguna clave particular (por ejemplo: mgr / afluencia / passsword)

Todos los comandos específicos del módulo pasan DaemonServer::_handle_command(), que luego registran el comando a través audit_clog->debug()(o audit_clog->info()en caso de acceso denegado). Todo esto termina escrito en /var/log/ceph/ceph-mgr.$ID.log, que es legible en todo el mundo, por ejemplo:

2018-12-03 10: 45: 28.864 7f67e7f8f700 0 log_channel (audit) log [DBG]: from = 'client.343880 172.16.1.254:39896/3560370796' entity = 'client.admin' cmd = [{"prefix": "deepsea config-set", "key": "salt_api_password", "value": "foo", "target": ["mgr", ""]}]: despacho

Además, cualquier cosa que resulte en un "conjunto de configuración" aterriza en el registro mon, por ejemplo:

2018-12-03 10: 45: 28.881552 [INF] from = 'mgr.295252 172.16.1.21:56636/175641' entity = 'mgr.data1' cmd = '[{"prefix": "config set", "who ":" mgr "," nombre ":" mgr / deepsea / salt_api_password "," value ":" foo "}] ': terminado

Referencias:

https://bugzilla.redhat.com/show_bug.cgi?id=1892109

https://tracker.ceph.com/issues/37503

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Fecha actualización el 2021-01-09. Fecha publicación el 2021-01-09. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: NIST