Apache ZooKeeper / Juniper - CVE-2023-44981
Date de publication :
Date de mise à jour :
Un défaut de contrôle de l’authentification dans Apache ZooKeeper permet à un attaquant non authentifié, en utilisant un identifiant spécifiquement forgé, d’obtenir un accès en lecture et en écriture.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Atteinte à la confidentialité des données
Atteinte à l'intégrité des données
Exploitation
La vulnérabilité exploitée est du type
CWE-639: Authorization Bypass Through User-Controlled Key
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Apache ZooKeeper lorsque le paramètre « SASL Quorum Peer authentication » est activé
Versions 3.7.1 et antérieures
Versions comprises entre 3.8.0 et 3.8.2 (incluse)
Version 3.9.0
Produit Juniper
Juniper Secure Analytics versions antérieure à 7.5.0 UP7 IF05
Produit IBM
IBM Db2 Web Query for i versions 2.4.0
Solutions ou recommandations
Mettre à jour Apache ZooKeeper vers la version 3.7.2, 3.8.3, 3.9.1 ou ultérieure.
Mettre à jour Juniper Secure Analytics vers la version 7.5.0 UP7 IF05 ou ultérieure.
Appliquer les correctifs temporaires suivants pour IBM Db2 Web Query for i : [SI85982] et [SI85987].
Des informations complémentaires sont disponibles dans les bulletins d’Apache, de Juniper et d'IBM.