中危 自定义凭证对象中的令牌可能会通过 ydb-go-sdk 中的日志泄漏 (CVE-2023-45825)
CVE编号
CVE-2023-45825利用情况
暂无补丁情况
官方补丁披露时间
2023-10-20漏洞描述
ydb-go-sdk是YDB平台的纯Go本机和database/sql驱动程序。自ydb-go-sdk v3.48.6版本以来,如果使用自定义凭据对象(实现接口Credentials),它可能泄露到日志中。出现此问题是因为此对象可以使用`fmt.Errorf(“something went wrong(credentials:%q)”)`在连接到YDB服务器期间被序列化为错误消息。如果出现此类日志记录,具有对日志访问权限的恶意用户可以读取敏感信息(例如凭据),并使用它来访问数据库。ydb-go-sdk在v3.48.6至v3.53.2版本中存在此问题。解决此问题的修复程序已在v3.53.3版本中发布。建议用户升级。无法升级的用户应在自定义凭据类型中实现`fmt.Stringer`接口,并显式对对象状态进行字符串化。解决建议
"将组件 github.com/ydb-platform/ydb-go-sdk/v3 升级至 3.53.3 及以上版本"受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | ydb | ydb-go-sdk | * | From (including) 3.48.6 | Up to (excluding) 3.53.2 | ||||
- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 管控权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-532 | 通过日志文件的信息暴露 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论