ГлавнаяБаза уязвимостей БДУ → BDU:2024-08718
6.6средняя

BDU:2024-08718

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с неправильной проверкой входных данных, позволяющая нарушителю задавать произвольные случайные значения (нонсы) при отключённой конвергентной криптографии
Опубликовано: 2024-10-29
Описание

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise связана с неправильной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, задавать произвольные случайные значения (нонсы) при отключённой конвергентной криптографии

Затрагиваемое ПО и версии
РЕД ОС (7.3)Vault (от 1.6.0 до 1.12.11)Vault Enterprise (от 1.6.0 до 1.12.11)Vault Enterprise (от 1.13.0 до 1.13.7)Vault (от 1.13.0 до 1.13.7)Vault (от 1.14.0 до 1.14.3)Vault Enterprise (от 1.14.0 до 1.14.3)
Способ устранения

Использование рекомендаций производителя:
Для HashiCorp Vault и Vault Enterprise:
https://discuss.hashicorp.com/t/hcsec-2023-28-vault-s-transit-secrets-engine-allowed-nonce-specified-without-convergent-encryption/58249

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл6.6 — средняя опасность
Источники и патчи
https://discuss.hashicorp.com/t/hcsec-2023-28-vault-s-transit-secrets-engine-allowed-nonce-specified-without-convergent-encryption/58249https://redos.red-soft.ru/support/secure/
Проверьте безопасность своего сайта и почты → Полная проверка домена