ГлавнаяБаза уязвимостей БДУ → BDU:2024-06016
7.8высокая

BDU:2024-06016

Уязвимость вызова AssumeRoleWithWebIdentity службы Security Token Service (AWS STS) единого API для взаимодействия со службами хранения объектов и локальными файлами Apache Arrow Rust Object Store, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации
Опубликовано: 2024-08-07
Описание

Уязвимость вызова AssumeRoleWithWebIdentity службы Security Token Service (AWS STS) единого API для взаимодействия со службами хранения объектов и локальными файлами Apache Arrow Rust Object Store связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации путем записи в журнал ошибки запроса с URL-адресом и учетными данными

Затрагиваемое ПО и версии
Arrow Rust Object Store (от 0.5.0 до 0.10.1 включительно)
Способ устранения

Использование рекомендаций:
https://lists.apache.org/thread/3t0povdppnt2czv6crlsqhvyko93kcrg
https://github.com/apache/arrow-rs/releases/tag/object_store_0.10.2
https://crates.io/crates/object_store/versions

Компенсирующие меры:
- использование другого механизма аутентификации AWS;
- отключение ведения журнала.

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2024/07/23/3https://lists.apache.org/thread/3t0povdppnt2czv6crlsqhvyko93kcrghttps://github.com/apache/arrow-rs/tree/master/object_storehttps://docs.rs/object_store/0.10.2/object_store/index.htmlhttps://vuldb.com/?id.272299
Проверьте безопасность своего сайта и почты → Полная проверка домена