Уязвимость СУБД SpiceDB связана с недостатками механизма формирования отчетов об ошибках при обработке конечной точки /debug/pprof/cmdline с параметром --grpc-preshared-key. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Использование рекомендаций:
https://github.com/authzed/spicedb/releases/tag/v1.19.1
https://github.com/authzed/spicedb/commit/9bbd7d76b6eaba33fe0236014f9b175d21232999
https://github.com/authzed/spicedb/security/advisories/GHSA-cjr9-mr35-7xh6
Компенсирующие меры:
1) Настройте предварительный ключ с помощью переменной среды (например SPICEDB_GRPC_PRESHARED_KEY=yoursecret spicedb serve )
2) Перенастройте --metrics-addr флаг для привязки к доверенной сети (например --metrics-addr=localhost:9090 )
3) Отключите службу метрик с помощью флага (например --metrics-enabled=false)
4) Используйте одну из рекомендуемых моделей развертывания: службу управления SpiceDB Serverless или SpiceDB Dedicated:
https://authzed.com/pricing
или
SpiceDB Operator:
https://github.com/authzed/spicedb-operator
| Балл | 7.8 — высокая опасность |