Cloud-inIT 是一款面向云平台的虚拟机初始化工具。3月20日,Debian 发布了安全更新,修复了 Cloud-inIT 相关的一处信息泄露漏洞。下文概述了该漏洞的要点。
漏洞要点:CVE-2021-3429 的严重级别为重要。
Cloud-inIT 能为系统用户生成并设定随机密码。通过传入诸如以下内容的云配置数据,可以在运行时启用此功能:
chpaSSwd:列表:| User1:Random
在此使用方式下,cloud-inIT 会将原始的、未加密的密码记录到一个全球可读的本地文件中,从而造成敏感信息泄露。
受影响的产品及版本如下:
上述漏洞影响 debian9 StRetch 0.7.9-2 + deb9u1 之前的版本。
修复方案:
对于 debian 9 StRetch,该问题已在版本 0.7.9-2 + deb9u1 中修复,建议尽快更新 cloud-inIT 软件包。
如需了解更多漏洞信息及升级,请访问官方网站。
