定时攻击可能泄露用户密码 (CVE-2023-46739)
CVE编号
CVE-2023-46739利用情况
暂无补丁情况
N/A披露时间
2024-01-04漏洞描述
CubeFS是一个开源的云原生文件存储系统。在CubeFS v3.3.1之前的版本中发现了一个漏洞,该漏洞可能允许不受信任的攻击者通过执行时序攻击来窃取用户密码。漏洞的根本原因是CubeFS对密码使用了原始字符串比较。受影响的CubeFS组件是主组件的UserService。当启动主组件服务器时,UserService会被实例化。该问题在v3.3.1中已修复。受影响的用户除了升级之外,没有其他方法来缓解此问题。解决建议
"将 github.com/cubefs/cubefs 升级至 3.3.1 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/cubefs/cubefs/commit/6a0d5fa45a77ff20c752fa9e44738bf5d86c84bd | |
| https://github.com/cubefs/cubefs/security/advisories/GHSA-8579-7p32-f398 |
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 无
- 影响范围 已更改
- 用户交互 无
- 可用性 低
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-203 | 通过差异性导致的信息暴露 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论