CVE-2022-23506 : Spinnaker's Rosco microservice vulnerable to improper log masking on AWS Packer builds

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2022-23506 基础信息

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

Spinnaker's Rosco microservice vulnerable to improper log masking on AWS Packer builds

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

Spinnaker is an open source, multi-cloud continuous delivery platform for releasing software changes, and Spinnaker's Rosco microservice produces machine images. Rosco prior to versions 1.29.2, 1.28.4, and 1.27.3 does not property mask secrets generated via packer builds. This can lead to exposure of sensitive AWS credentials in packer log files. Versions 1.29.2, 1.28.4, and 1.27.3 of Rosco contain fixes for this issue. A workaround is available. It's recommended to use short lived credentials via role assumption and IAM profiles. Additionally, credentials can be set in `/home/spinnaker/.aws/credentials` and `/home/spinnaker/.aws/config` as a volume mount for Rosco pods vs. setting credentials in roscos bake config properties. Last even with those it's recommend to use IAM Roles vs. long lived credentials. This drastically mitigates the risk of credentials exposure. If users have used static credentials, it's recommended to purge any bake logs for AWS, evaluate whether AWS_ACCESS_KEY, SECRET_KEY and/or other sensitive data has been introduced in log files and bake job logs. Then, rotate these credentials and evaluate potential improper use of those credentials.

来源: 美国国家漏洞数据库 NVD

CVSS Information

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

通过日志文件的信息暴露

来源: 美国国家漏洞数据库 NVD

Vulnerability Title

Spinnaker 日志信息泄露漏洞

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Description

Spinnaker是一个持续交付平台。用于以高速度和信心发布软件变更。 Spinnaker 1.29.2之前版本、1.28.4之前版本和 1.27.3 之前版本存在日志信息泄露漏洞，该漏洞源于不保留通过加壳程序生成的掩码秘密，导致打包程序日志文件中的敏感 AWS 凭证暴露。

来源: 中国国家信息安全漏洞库 CNNVD

CVSS Information

N/A

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Type

N/A

来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商	产品	影响版本	CPE	订阅
spinnaker	spinnaker	< 1.27.3	-

二、漏洞 CVE-2022-23506 的公开POC

#	POC 描述	源链接	神龙链接

AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2022-23506 的情报信息

Please 登录 to view more intelligence information

https://github.com/spinnaker/spinnaker/security/advisories/GHSA-2233-cqj8-j2q5x_refsource_CONFIRM
https://github.com/spinnaker/rosco/commit/e80cfaa1abfb3a0e9026d45d6027291bfb815dafx_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2022-23506

四、漏洞 CVE-2022-23506 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2022-23506 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2022-23506 的公开POC

三、漏洞 CVE-2022-23506 的情报信息

四、漏洞 CVE-2022-23506 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2022-23506 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2022-23506 的公开POC

三、漏洞 CVE-2022-23506 的情报信息

四、漏洞 CVE-2022-23506 的评论

发表评论

一、漏洞 CVE-2022-23506 基础信息