ГлавнаяБаза уязвимостей БДУ → BDU:2019-02944
9.3высокая

BDU:2019-02944 (CVE-2018-16886)

Уязвимость реализации функции контроля доступа на основе ролей Role Based Access Control (RBAC) хранилища параметров конфигурации Etcd, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2019-08-20
Описание

Уязвимость реализации функции контроля доступа на основе ролей Role Based Access Control (RBAC) хранилища параметров конфигурации Etcd связана с ошибками аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации путем отправки запроса по технологии REST API через gRPC-шлюз

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (Server 7.0)Red Hat Enterprise Linux (Desktop 7.0)Red Hat Enterprise Linux (Workstation 7.0)Fedora (30)Etcd (от 3.2.0 до 3.2.25 включительно)Etcd (от 3.3.0 до 3.3.10 включительно)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для программных продуктов Red Hat Inc.:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16886

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JX7QTIT465BQGRGNCE74RATRQLKT2QE4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UPGYHMSKDPW5GAMI7BEP3XQRVRLLBJKS/

Для программных продуктов Cloud Native Computing Foundation:
https://github.com/etcd-io/etcd/pull/10366
https://github.com/etcd-io/etcd/commit/0191509637546621d6f2e18e074e955ab8ef374d

Для ОС ОН «Стрелец»:
Обновление программного обеспечения etcd до версии 3.2.26+dfsg-3strelets0

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2018-16886http://www.securityfocus.com/bid/106540https://access.redhat.com/errata/RHSA-2019:0237https://access.redhat.com/errata/RHSA-2019:1352https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16886https://github.com/etcd-io/etcd/blob/1eee465a43720d713bb69f7b7f5e120135fdb1ac/CHANGELOG-3.2.md#security-authenticationhttps://github.com/etcd-io/etcd/blob/1eee465a43720d713bb69f7b7f5e120135fdb1ac/CHANGELOG-3.3.md#security-authenticationhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JX7QTIT465BQGRGNCE74RATRQLKT2QE4/
Проверьте безопасность своего сайта и почты → Полная проверка домена