Podatność w interaktywnym instalatorze SUSE Virtualization (Harvester) w wersjach 1.5.x oraz 1.6.x może prowadzić do ujawnienia domyślnego hasła logowania SSH systemu operacyjnego. Jest to krytyczny problem, ponieważ nieuwierzytelniony atakujący sieciowy może potencjalnie uzyskać dostęp do węzłów klastra.
▸ Pokaż oryginał (EN)
Projects using the SUSE Virtualization (Harvester) environment may expose the OS default ssh login password if they are using the 1.5.x or 1.6.x interactive installer to either create a new cluster or add new hosts to an existing cluster. The environment is not affected if the PXE boot mechanism is utilized along with the Harvester configuration setup.
Podatność (CWE-1188 — inicjalizacja zasobu z niebezpieczną wartością domyślną) występuje podczas korzystania z interaktywnego instalatora w wersjach 1.5.x i 1.6.x, zarówno przy tworzeniu nowego klastra, jak i przy dodawaniu nowych hostów do istniejącego klastra. W trakcie tego procesu domyślne hasło SSH systemu operacyjnego może zostać ujawnione. Środowisko nie jest podatne, jeżeli do uruchamiania systemu wykorzystywany jest mechanizm PXE boot w połączeniu z konfiguracją Harvester.
Atakujący, który uzyska ujawnione hasło SSH, może zalogować się do węzłów klastra bez autoryzacji, co grozi pełnym przejęciem kontroli nad infrastrukturą wirtualizacyjną, naruszeniem poufności danych oraz integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się korzystanie z mechanizmu PXE boot wraz z konfiguracją Harvester zamiast interaktywnego instalatora, a także natychmiastową zmianę domyślnych haseł SSH na wszystkich węzłach klastra instalowanych za pomocą interaktywnego instalatora w wersjach 1.5.x lub 1.6.x.
SUSE Virtualization (Harvester) w wersjach 1.5.x oraz 1.6.x, gdy do instalacji lub rozszerzania klastra wykorzystywany jest interaktywny instalator. Środowiska korzystające z mechanizmu PXE boot z konfiguracją Harvester nie są podatne.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H