漏洞标题
Vault SSH Secrets Engine配置默认未限制有效用户主体
漏洞描述信息
Vault的SSH密钥管理引擎默认情况下不要求valid_principals列表包含一个值。如果SSH密钥管理引擎配置中的valid_principals和default_user字段未设置,那么由授权用户向Vault的SSH密钥管理引擎请求的SSH证书可以用来作为主机上的任意用户进行身份验证。这个问题已在Vault社区版1.17.6以及Vault企业版1.17.6、1.16.10和1.15.15中得到修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
证书验证不恰当
漏洞标题
Vault SSH Secrets Engine Configuration Did Not Restrict Valid Principals By Default
漏洞描述信息
Vault’s SSH secrets engine did not require the valid_principals list to contain a value by default. If the valid_principals and default_user fields of the SSH secrets engine configuration are not set, an SSH certificate requested by an authorized user to Vault’s SSH secrets engine could be used to authenticate as any user on the host. Fixed in Vault Community Edition 1.17.6, and in Vault Enterprise 1.17.6, 1.16.10, and 1.15.15.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
关键资源的不正确权限授予
漏洞标题
HashiCorp Vault Enterprise和HashiCorp Vault Community Edition 安全漏洞
漏洞描述信息
HashiCorp Vault Enterprise和HashiCorp Vault Community Edition都是美国HashiCorp公司的产品。HashiCorp Vault Enterprise是一个企业信息归档平台。HashiCorp Vault Community Edition是一款密钥管理引擎。用来集中存储集群运行过程中所需要的秘密信息。 HashiCorp Vault Enterprise和HashiCorp Vault Community Edition存在安全漏洞,该漏洞源于
CVSS信息
N/A
漏洞类别
其他