Dans le bulletin de sécurité de cette semaine, nous couvrirons un avis de sécurité Jira critique et d'autres vulnérabilités de haute sévérité dans Java et le module ingress-nginx de Kubernetes.
Contournement de l'authentification du serveur JIRA et du centre de données
Selon un avis de sécurité publié par Atlassian le 20 avril, certaines versions antérieures de JIRA Server et Data Center sont sujettes à une vulnérabilité de contournement d'authentification. Cette vulnérabilité pourrait permettre à un attaquant distant non authentifié de contourner les exigences d'authentification et d'autorisation dans les actions WebWork en utilisant une configuration affectée. Atlassian a classé cette vulnérabilité comme étant de sévérité critique et il est utile de noter que seules des configurations spécifiques rendent l'environnement vulnérable.
Vous pouvez lire l'avis pour plus de détails sur les applications tierces et Atlassian affectées. Comme il s'agit d'une vulnérabilité critique, Atlassian recommande à ses utilisateurs de remédier à la vulnérabilité en mettant à jour vers une version corrigée de Jira.
Les versions vulnérables sont les suivantes :
Atlassian Jira Server et Data Center avant 8.13.18, entre 8.14.0-8.20.6, et entre 8.21.0-8.22.0
Atlassian Jira Service Management Server and Data Center versions before 4.13.18, between 4.14.0 - 4.20.6, and between 4.21.0 - 4.22.0
Les versions corrigées sont 8.13.18, 8.20.6 et 8.22.0 et 4.13.18, 4.20.6 et 4.22.0.
Signatures psychiques en Java
L'algorithme de signature numérique à courbe el liptique (ECDSA) est un algorithme de signature numérique qui utilise la cryptographie à courbe elliptique et qui est réputé pour être difficile à mettre en œuvre correctement.
CVE-2022-21449 est attribué à une vulnérabilité trouvée dans la façon dont Java traite les signatures ECDSA. La partie EC de la base de code a été réécrite dans la version 15 de Java et cette réécriture a introduit un bogue où certains contrôles n'étaient pas effectués lors de la vérification des signatures.
Si vous utilisez l'ECDSA dans vos jetons Web JSON (JWT) signés et dans d'autres messages d'authentification, ce bogue pourrait permettre à un attaquant de falsifier les certificats SSL et les échanges pour s'authentifier auprès du serveur. Oracle recommande à ses utilisateurs de mettre à jour leurs installations Java à la dernière version pour atténuer la vulnérabilité. Toutes les versions de Java supérieures à 15 sont concernées et la mise à jour du correctif critique d'avril 2022 publiée par Oracle atténue la vulnérabilité.
Selon la base de données nationale des vulnérabilités, l'exploitation réussie de cette vulnérabilité peut entraîner la création, la suppression ou la modification non autorisée de données critiques ou de toutes les données accessibles d'Oracle Java SE et d'Oracle GraalVM Enterprise Edition.
Cause première
Dans la version 15 de Java, le code de cryptographie à courbe elliptique, initialement écrit en C++, a été réécrit en Java. Cette réécriture a rendu les mécanismes d'authentification utilisant les signatures ECDSA vulnérables à l'authentification de messages falsifiés.
L'avis de vulnérabilité OpenJDK pour CVE-2022-21449 est disponible ici.
Crédits : Neil Madden
Vulnérabilité Kubernetes Ingress-Nginx
Kubernetes propose aux utilisateurs le module ingress-nginx qui sert d'équilibreur de charge et de proxy inverse.
CVE-2021-25746 est une vulnérabilité qui permet à un utilisateur qui peut créer ou mettre à jour des objets d'entrée d'obtenir les informations d'identification du contrôleur d'entréenginx . Dans la configuration par défaut, cet identifiant a accès à tous les secrets du cluster.
A successful exploit by a malicious user could allow them access to every secret in the Kubernetes environment. This is a high-severity vulnerability that only affects Kubernetes users who use the ingress-nginx module (<1.2.0) in its default configuration. If you do not use the ingress-nginx controller, you are not affected, as per the security advisory. This vulnerability was mitigated by the 1.2.0 and v1.2.0-beta.0 version updates.
Selon l'avis, si vous n'êtes pas en mesure de déployer le correctif, cette vulnérabilité peut également être atténuée par la mise en œuvre d'une politique d'admission qui restreint les valeurs metadata.annotations à des valeurs sûres connues (voir les règles nouvellement ajoutées, ou la valeur suggérée pour annotation-value-word-blocklist).
Commentaires