OpenBao — это система управления секретами на основе личных данных с открытым исходным кодом. В версиях с 2.2.0 по 2.4.1 в журнале аудита OpenBao наблюдалась регрессия, при которой необработанные тела HTTP, используемые несколькими конечными точками, не были корректно отредактированы (HMAC). Это влияет на тех, кто использует функциональность ACME PKI, что приводит к кратковременной утечке кодов проверки ACME в журналы аудита.
Кроме того, это влияет на тех, кто использует функциональность эмитента OIDC в подсистеме идентификации: коды аутентификации и ответа токена, а также заявления могут просачиваться в журналы аудита. Коды проверки ACME нельзя использовать после истечения срока проверки или запроса, поэтому их долгосрочное использование ограничено. Эта проблема исправлена в OpenBao 2.4.2.
Показать оригинальное описание (EN)
OpenBao is an open source identity-based secrets management system. In versions 2.2.0 to 2.4.1, OpenBao's audit log experienced a regression wherein raw HTTP bodies used by few endpoints were not correctly redacted (HMAC'd). This impacts those using the ACME functionality of PKI, resulting in short-lived ACME verification challenge codes being leaked in the audit logs. Additionally, this impacts those using the OIDC issuer functionality of the identity subsystem, auth and token response codes along with claims could be leaked in the audit logs. ACME verification codes are not usable after verification or challenge expiry so are of limited long-term use. This issue has been patched in OpenBao 2.4.2.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openbao Openbao
cpe:2.3:a:openbao:openbao:*:*:*:*:*:*:*:*
|
2.2.0
|
2.4.2
|