OpenBao — это система управления секретами на основе личных данных с открытым исходным кодом. До версии 2.4.2 журнал аудита OpenBao не редактировал должным образом поля, когда соответствующие подсистемы отправляли []байтовые параметры ответа, а не строки. Это включает, помимо прочего, sys/raw с использованием кодировки = base64, все данные будут отправляться в журнал аудита в неотредактированном виде, а Transit при выполнении операции подписания с помощью производного ключа Ed25519 будет отправлять открытые ключи в журнал аудита.
Эта проблема исправлена в OpenBao 2.4.2.
Показать оригинальное описание (EN)
OpenBao is an open source identity-based secrets management system. Prior to version 2.4.2, OpenBao's audit log did not appropriately redact fields when relevant subsystems sent []byte response parameters rather than strings. This includes, but is not limited to sys/raw with use of encoding=base64, all data would be emitted unredacted to the audit log, and Transit, when performing a signing operation with a derived Ed25519 key, would emit public keys to the audit log. This issue has been patched in OpenBao 2.4.2.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openbao Openbao
cpe:2.3:a:openbao:openbao:*:*:*:*:*:*:*:*
|
— |
2.4.2
|