9月26日云计算服务基础设施自动化企业HashiCorp发布安全公告,指出旗下的机密敏感资讯(secrets)管理工具Vault存在高风险漏洞CVE-2024-7594,同时影响社交媒体版(Community Edition)与企业版(Enterprise),对此,他们发布社交媒体版1.17.6,以及企业版1.17.6、1.16.10、1.15.15进行修补。
这项漏洞发生的原因,在于SSH机密敏感资讯引擎的valid_principals列表默认不需具备任何参数,一旦valid_principals及default_user字段尚未设置,任何得到授权的用户请求的SSH凭证,将能对任何本机用户进行身份验证,CVSS风险评分为7.7。
由于valid_principals字段的用途,是提供SSH服务器验证Vault产生的凭证,若是该字段设置为空字符串或是零规则(zero principals),在特定情况的所有规则之下,凭证都会是有效的。为了防范上述弱点,该公司在Vault的SSH机密敏感资讯引擎加入allow_empty_principals组态,并默认为关闭,但需要维持兼容性的用户,仍可更改这项设置以维持向下兼容。
针对这项漏洞的缓解,HashiCorp认为用户应评估处理该弱点而可能产生的风险,若是无法部署新版Vault,应考虑调整SSH机密敏感资讯引擎的字段valid_principals,将其设置为非空值。
