Araştırmacılar, saldırganların ‘altyapının tam kontrolünü ele geçirebilir’
Araştırmacılar, Ücretsiz IPA’daki bir güvenlik açığının XML harici varlık (XXE) saldırılarına yol açabileceği konusunda uyardılar.
FreeIPA, ücretsiz ve açık kaynaklı bir kimlik yönetim sistemidir ve Red Hat Identity Management’ın yukarı akış projesidir.
Red Hat’in bir güvenlik tavsiyesi, pakette CVE-2022-2414 olarak izlenen bir kusur bulundu.
Güvenlik açıklarıyla ilgili en son haberleri okuyun
“XML belgelerini ayrıştırırken harici varlıklara erişim, XML harici varlık saldırılarına yol açabilir.
“Bu kusur, uzaktaki bir saldırganın özel hazırlanmış HTTP istekleri göndererek rastgele dosyaların içeriğini potansiyel olarak almasına olanak tanır.”
Önem derecesi 7.5 (yüksek) olan güvenlik açığı, güvenlik araştırma ekibi PT Swarm’dan araştırmacı Egor Dimintrenko tarafından keşfedildi.
PT Swarm, “Bazı durumlarda, saldırganların FreeIPA yapılandırmasından Dizin Yöneticisi parolasını okumasına ve altyapının tam kontrolünü ele geçirmesine olanak tanır.” yorum yaptı.
Red Hat Enterprise Linux 6-9 ve Red Hat Certificate System 9 ve 10’u etkiler.
Güvenlik açığı, kapsam dışı olan Linux 6 dışındaki tüm sürümlerde Red Hat tarafından düzeltildi. Bilinen bir azaltma yok ve Red Hat, kullanıcıları güncellemeye çağırıyor.
Günlük Swig daha fazla yorum için PT Swarm’a ulaştı ve bu makaleyi buna göre güncelleyecek.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Kritik yukarı akış yazılımlarının korunmasına yardımcı olmak için Güvenli Açık Kaynak Ödülleri programı başlatıldı