Step CA — это онлайн-центр сертификации для безопасного автоматизированного управления сертификатами для DevOps. Версии 0.30.0-rc6 и ниже не обеспечивают защиту от выдачи сертификата без проверки подлинности через SCEP UpdateReq. Эта проблема исправлена в версии 0.30.0.
Показать оригинальное описание (EN)
Step CA is an online certificate authority for secure, automated certificate management for DevOps. Versions 0.30.0-rc6 and below do not safeguard against unauthenticated certificate issuance through the SCEP UpdateReq. This issue has been fixed in version 0.30.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Ссылки 3
https://github.com/smallstep/certificates/commit/e6da031d5125cfd99fe9a26f74bb41…
security-advisories@github.com
https://github.com/smallstep/certificates/releases/tag/v0.30.0-rc7
security-advisories@github.com
https://github.com/smallstep/certificates/security/advisories/GHSA-q4r8-xm5f-56…
security-advisories@github.com