漏洞标题
N/A
漏洞描述信息
在 rhacm 版本2.0.5之前和2.1.0之前,发现了漏洞。使用源存储库的测试证书错误地配置了两个内部服务API。这将导致所有 installations 使用相同的证书。如果攻击者可以观察到集群内部的网络流量,他们可以使用私钥解码应该由 TLS 会话保护的 API 请求,可能获得他们无法获得的信息。这些证书并不用于服务验证,因此无法进行仿冒或主动 MITM 攻击。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
A flaw was found in rhacm versions before 2.0.5 and before 2.1.0. Two internal service APIs were incorrectly provisioned using a test certificate from the source repository. This would result in all installations using the same certificates. If an attacker could observe network traffic internal to a cluster, they could use the private key to decode API requests that should be protected by TLS sessions, potentially obtaining information they would not otherwise be able to. These certificates are not used for service authentication, so no opportunity for impersonation or active MITM attacks were made possible.
CVSS信息
N/A
漏洞类别
使用硬编码的密码学密钥
漏洞标题
Red Hat Advanced Cluster Management 信任管理问题漏洞
漏洞描述信息
Red Hat Advanced Cluster Management是美国红帽(Red Hat)公司的一个控制台集群控制软件。 Red Hat Advanced Cluster Management for Kubernetes 2中的rhacm2/mcm-topology-api-rhel8和Red Hat Advanced Cluster Management for Kubernetes 2中的rhacm2/grc-ui-api-rhel8 存在安全漏洞,目前尚无此漏洞的相关信息,请随时关注CNN
CVSS信息
N/A
漏洞类别
信任管理问题