漏洞信息详情
Hashicorp HashiCorp Vault 安全漏洞
漏洞简介
Hashicorp HashiCorp Vault是美国HashiCorp(Hashicorp)公司的一款私钥访问管理工具。
HashiCorp Vault andVault Enterprise 1.8.0到1.8.4版本存在安全漏洞,该漏洞源于软件在全局相关策略和谷歌云秘密引擎之间可能会有意外的交互。在某些情况下,用户可能拥有比预期更多的特权,例如,具有/gcp/roleset/*路径读权限的用户可能能够发出谷歌云服务帐户凭证。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://discuss.hashicorp.com/t/hcsec-2021-28-vaults-google-cloud-secrets-engine-policies-with-globs-may-provide-additional-privileges-in-vault-1-8-0-onwards/
参考网址
来源:MISC
链接:https://discuss.hashicorp.com/t/hcsec-2021-28-vaults-google-cloud-secrets-engine-policies-with-globs-may-provide-additional-privileges-in-vault-1-8-0-onwards/
来源:nvd.nist.gov
链接:https://nvd.nist.gov/vuln/detail/CVE-2021-42135
受影响实体
暂无
补丁
- Hashicorp HashiCorp Vault 安全漏洞的修复措施<!--2021-10-11-->
还没有评论,来说两句吧...