Vulnerabilidad en En Cloudera Navigator Key Trustee (CVE-2018-6185)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-310
Errores criptográficos
Fecha de publicación:
07/06/2019
Última modificación:
11/06/2019
Descripción
En Cloudera Navigator Key Trustee KMS versiones 5.12 y 5.13, los valores de ACL por defecto incorrectos permiten el acceso remoto para purgar y recuperar llamadas de la API en claves de zona de cifrado. El Navigator Key Trustee KMS incluye 2 llamadas a la API además de las de Apache Hadoop KMS: purgar y recuperar. Los valores de ACL de KMS para estos comandos son keytrustee.kms.acl.PURGE y keytrustee.kms.acl.UNDELETE, respectivamente. El valor predeterminado para las ACL en la versión 5.12.0 de Key Trustee KMS versiones 5.12.0 and 5.13.0 es "*" que permite a cualquier persona con conocimiento del nombre de una clave de zona de cifrado y acceso de red al Key Trustee KMS para realizar esas llamadas contra claves de zona de cifrado conocidas. Esto puede resultar en la recuperación de una clave previamente eliminada, pero no purgada (Undelete) o la eliminación de una clave en uso activo (purga), resultando en la pérdida de acceso a los datos de HDFS cifrados.
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cloudera:cloudera_manager:5.12.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cloudera:cloudera_manager:5.12.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cloudera:cloudera_manager:5.12.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cloudera:cloudera_manager:5.13.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cloudera:cloudera_manager:5.13.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cloudera:navigator_key_trustee_kms:5.12.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:cloudera:navigator_key_trustee_kms:5.13.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página