AuthInfoFromTLS()通过gRPC-gateway(CVE-2018-16886)

 
0 135
午夜里的布娃娃
2020-01-14 15:58

漏洞描述

在使用基于角色的访问控制(RBAC)并启用了client-cert-auth时,3.2.26之前的版本3.2.x和3.3.11之前的3.3.x易受不正确的身份验证问题的影响。如果etcd客户端服务器TLS证书包含与有效RBAC用户名匹配的公用名(CN),则远程攻击者可以在对gRPC网关的REST API请求中使用任何有效(可信)客户端证书对该用户进行身份验证。

基本信息

CVE编号: CVE-2018-16886

漏洞类型: 未知

危险等级: 中危

披露时间: 2019-01-14

cvss3评分:6.8

cvss3因子:CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N

修复建议

参考链接

http://www.securityfocus.com/bid/106540

https://access.redhat.com/errata/RHSA-2019:0237

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16886

https://github.com/etcd-io/etcd/blob/1eee465a43720d713bb69f7b7f5e120135fdb1ac/CHANGELOG-3.2.md#security-authentication

https://github.com/etcd-io/etcd/blob/1eee465a43720d713bb69f7b7f5e120135fdb1ac/CHANGELOG-3.3.md#security-authentication

来源:阿里云漏洞公告

本文内容由互联网用户自发贡献,版权归作者所有,本站不拥有所有权也不承担相关法律责任。如需转载请按以下形式注明来源: 复制

文章来源:阿里云牛优惠资讯网
文章标题:AuthInfoFromTLS()通过gRPC-gateway(CVE-2018-16886)
原文地址:https://aliyunnew.com/a/CVE-2018-16886.html
发布时间:2020-01-14 15:58
相关话题
没有相关话题
猜您喜欢
没有相关数据
回帖
  • 抢占沙发~~