Состояние гонки в подсистеме управления секретами версий Juju с 3.0.0 по 3.6.18 позволяет аутентифицированному агенту устройства претендовать на владение вновь инициализированным секретом. Между генерацией секретного идентификатора Juju и созданием первой версии секрета злоумышленник, прошедший аутентификацию как другой агент подразделения, может заявить о своем праве на известный секрет. Это приводит к тому, что атакующее подразделение может прочитать содержимое первоначальной секретной версии.
Показать оригинальное описание (EN)
A race condition in the secrets management subsystem of Juju versions 3.0.0 through 3.6.18 allows an authenticated unit agent to claim ownership of a newly initialized secret. Between generating a Juju Secret ID and creating the secret's first revision, an attacker authenticated as another unit agent can claim ownership of a known secret. This leads to the attacking unit being able to read the content of the initial secret revision.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Canonical Juju
cpe:2.3:a:canonical:juju:*:*:*:*:*:*:*:*
|
3.0.0
|
3.6.19
|