云安全日报210322:Debian云虚拟化工具发现信息泄露陷阱
发布时间:2021-11-27 14:47:25 所属栏目:云计算 来源:互联网
导读:Cloud-init是一款用于云平台的虚拟机初始化工具。3月20日,Debian发布了安全更新,修复了Cloud-init中发现的信息泄露漏洞。以下是漏洞详情: 漏洞详情 CVE-2021-3429 严重程度: 重要 cloud-init能够为系统用户生成并设置随机密码。通过传递诸如以下内容的云配置
Cloud-init是一款用于云平台的虚拟机初始化工具。3月20日,Debian发布了安全更新,修复了Cloud-init中发现的信息泄露漏洞。以下是漏洞详情: 漏洞详情 CVE-2021-3429 严重程度: 重要 cloud-init能够为系统用户生成并设置随机密码。通过传递诸如以下内容的云配置数据,可以在运行时启用此功能: chpasswd:列表:| user1:RANDOM 当以这种方式使用时,cloud-init会将原始的、未加密的密码记录到一个全球可读的本地文件中,从而造成重要信息泄露。 受影响产品及版本 上述漏洞影响Debian9 Stretch 0.7.9-2 + deb9u1之前版本 解决方案 对于Debian 9 Stretch,此问题已在版本0.7.9-2 + deb9u1中得到解决,建议及时更新cloud-init软件包。 (编辑:威海站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |