ГлавнаяБаза уязвимостей БДУ → BDU:2023-02270
7.8высокая

BDU:2023-02270

Уязвимость СУБД SpiceDB, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2023-04-27
Описание

Уязвимость СУБД SpiceDB связана с недостатками механизма формирования отчетов об ошибках при обработке конечной точки /debug/pprof/cmdline с параметром --grpc-preshared-key. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
SpiceDB (до 1.19.1)
Способ устранения

Использование рекомендаций:
https://github.com/authzed/spicedb/releases/tag/v1.19.1
https://github.com/authzed/spicedb/commit/9bbd7d76b6eaba33fe0236014f9b175d21232999
https://github.com/authzed/spicedb/security/advisories/GHSA-cjr9-mr35-7xh6

Компенсирующие меры:
1) Настройте предварительный ключ с помощью переменной среды (например SPICEDB_GRPC_PRESHARED_KEY=yoursecret spicedb serve )
2) Перенастройте --metrics-addr флаг для привязки к доверенной сети (например --metrics-addr=localhost:9090 )
3) Отключите службу метрик с помощью флага (например --metrics-enabled=false)
4) Используйте одну из рекомендуемых моделей развертывания: службу управления SpiceDB Serverless или SpiceDB Dedicated:
https://authzed.com/pricing
или
SpiceDB Operator:
https://github.com/authzed/spicedb-operator

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
Ссылкинаисточники:https://github.com/authzed/spicedb/commit/9bbd7d76b6eaba33fe0236014f9b175d21232999https://github.com/authzed/spicedb/releases/tag/v1.19.1https://github.com/authzed/spicedb/security/advisories/GHSA-cjr9-mr35-7xh6https://vuldb.com/ru/?id.225928
Проверьте безопасность своего сайта и почты → Полная проверка домена