Vulnérabilité dans la plateforme de stockage distribué Ceph
Date de publication :
CVE-2020-25660[Score CVSS v3 : 8.8] : Une vulnérabilité a été découverte dans le protocole d'authentification de Cephx, ce dernier ne vérifie pas correctement les connexions entrantes des clients Ceph ce qui peut permettre à un attaquant distant et non-authentifié d’obtenir des identifiants de connexion grâce à une attaque par rejeu.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Fuite d’identifiants
- Usurpation de session
- Violation des politiques de sécurité
Criticité
- Score CVSS v3 : 8.8
Existence d’un code d’exploitation
- Il n’existe, à ce jour, aucun code d’exploitation publique.
Composants vulnérables
Les versions de Ceph suivantes sont vulnérables :
- v14.2.13 Nautilus et antérieure
- v15.2.5 Octopus et antérieure
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Ceph vers une des deux versions suivantes :
v14.2.14 Nautilus
v15.2.6 Octopus
Solution de contournement
Il n’existe pas de solutions de contournement proposée publiquement