CVE-2024-45106

3 Dic 2024

Título es

CVE-2024-45106

Mar, 03/12/2024 – 10:15

Tipo

CWE-287

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2024-45106

Descripción es

La autenticación incorrecta de un endpoint HTTP en la puerta de enlace S3 de Apache Ozone 1.4.0 permite que cualquier usuario Kerberos autenticado revoque y regenere los secretos S3 de cualquier otro usuario. Esto solo es posible si: * ozone.s3g.secret.http.enabled está configurado como verdadero. El valor predeterminado de esta configuración es falso. * El usuario configurado en ozone.s3g.kerberos.principal también está configurado en ozone.s3.administrators o ozone.administrators. Se recomienda a los usuarios que actualicen a Apache Ozone versión 1.4.1, que deshabilita el endpoint afectado.

Descripción en

Improper authentication of an HTTP endpoint in the S3 Gateway of Apache Ozone 1.4.0 allows any authenticated Kerberos user to revoke and regenerate the S3 secrets of any other user. This is only possible if:
* ozone.s3g.secret.http.enabled is set to true. The default value of this configuration is false.
* The user configured in ozone.s3g.kerberos.principal is also configured in ozone.s3.administrators or ozone.administrators.

Users are recommended to upgrade to Apache Ozone version 1.4.1 which disables the affected endpoint.

03/12/2024

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

Pendiente de análisis

Referencias

https://lists.apache.org/thread/rylnxwttp004kvotpk9j158vb238pfkm

http://www.openwall.com/lists/oss-security/2024/12/02/1

Enviar en el boletín

Off

CVE-2024-45106

CVE-2024-45106

Jose Alexis Correa Valencia