Все бюллетени/sisyphus/ALT-PU-2024-3459-3
ALT-PU-2024-3459-3

Обновление пакета vault в ветке sisyphus

Версия1.13.12-alt1
Задание#342047
Опубликовано2026-02-04
Макс. серьёзностьHIGH
Серьёзность:

Закрытые проблемы (7)

BDU:2023-08660
HIGH7.5

Уязвимость компонента max_request_duration платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2023-12-13Изменено: 2024-08-06
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C
Ссылки
BDU:2024-08718
MEDIUM6.8

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с неправильной проверкой входных данных, позволяющая нарушителю задавать произвольные случайные значения (нонсы) при отключённой конвергентной криптографии

Опубликовано: 2024-10-29
CVSS 3.xСРЕДНЯЯ 6.8
CVSS:3.x/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
CVSS 2.0СРЕДНЯЯ 6.6
CVSS:2.0/AV:N/AC:H/Au:S/C:C/I:C/A:N
Ссылки
CVE-2023-3775
MEDIUM4.9

A Vault Enterprise Sentinel Role Governing Policy created by an operator to restrict access to resources in one namespace can be applied to requests outside in another non-descendant namespace, potentially resulting in denial of service. Fixed in Vault Enterprise 1.15.0, 1.14.4, 1.13.8.

Опубликовано: 2023-09-29Изменено: 2024-11-21
CVSS 3.xСРЕДНЯЯ 4.9
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
Ссылки
CVE-2023-4680
MEDIUM6.8

HashiCorp Vault and Vault Enterprise transit secrets engine allowed authorized users to specify arbitrary nonces, even with convergent encryption disabled. The encrypt endpoint, in combination with an offline attack, could be used to decrypt arbitrary ciphertext and potentially derive the authentication subkey when using transit secrets engine without convergent encryption. Introduced in 1.6.0 and fixed in 1.14.3, 1.13.7, and 1.12.11.

Опубликовано: 2023-09-15Изменено: 2024-11-21
CVSS 3.xСРЕДНЯЯ 6.8
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
Ссылки
CVE-2023-6337
HIGH7.5

HashiCorp Vault and Vault Enterprise 1.12.0 and newer are vulnerable to a denial of service through memory exhaustion of the host when handling large unauthenticated and authenticated HTTP requests from a client. Vault will attempt to map the request to memory, resulting in the exhaustion of available memory on the host, which may cause Vault to crash. Fixed in Vault 1.15.4, 1.14.8, 1.13.12.

Опубликовано: 2023-12-08Изменено: 2025-02-13
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки
GHSA-6p62-6cg9-f5f5
HIGH7.5

Memory exhaustion in HashiCorp Vault

Опубликовано: 2023-12-09Изменено: 2025-02-13
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки