Red Hat Service Interconnect安全漏洞CVE-2024-12582

Red Hat Service Interconnect是美国红帽（Red Hat）公司基于开源项目Skupper构建的产品，主要用于简化跨混合云环境的应用连接性。

一、基本情况

栋科技漏洞库关注到Red Hat Service Interconnect中存在的一个安全漏洞，该漏洞被追踪为CVE-2024-12582，该漏洞的CVSS评分为7.1。

二、漏洞分析

CVE-2024-12582是Red Hat Service Interconnect存在的安全漏洞，源于使用有缺陷的身份验证方法，可能导致任意文件读取或拒绝服务。

漏洞位于skupper console中，这是一个只读界面，用于呈现用户在混合多云环境中设置的网络应用程序集群网络、流量详细信息和指标。

当 skupper 站点在启用控制台并选择默认身份验证方法的情况下初始化时，会使用有缺陷的基本身份验证实现，来配置 skupper 控制台。

当使用默认身份验证方法时会为“admin”用户生成一个随机密码，并以纯文本文件的明文文件形式保存在Kubernetes密钥或podman卷中。

攻击者可操纵这种身份验证方式，从而导致容器文件系统中任何用户可读的文件被攻击者轻易读取利用，直接影响到系统数据的机密性。

此外，攻击者还能够利用该漏洞通过诱导skupper将极大的文件读取到内存中，从而导致资源耗尽和拒绝服务攻击的情况，潜在风险较大。

三、影响范围

Red Hat Service Interconnect 1

四、缓解办法

对于在 Red Hat OpenShift 上运行 skupper 的用户，应使用 OpenShift 身份验证。否则，在身份验证不是主要问题的情况下使用“不安全”。

五、参考链接

此处内容已隐藏，评论后刷新即可查看！