One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8379820 |
| Date de publication | 2023-09-06 18:15:08 (vue: 2023-09-06 21:07:07) |
| Titre | CVE-2023-41319 |
| Texte | Fides est une plate-forme d'ingénierie de confidentialité open source pour gérer la réalisation des demandes de confidentialité des données dans un environnement d'exécution et l'application des réglementations de confidentialité dans le code.L'API Fides Webserver permet à des intégrations personnalisées d'être téléchargées sous forme de fichier zip.Ce fichier zip doit contenir des fichiers YAML, mais les fides peuvent être configurées pour accepter également l'inclusion de code Python personnalisé.Le code personnalisé est exécuté dans un environnement de sable restreint, mais le bac à sable peut être contourné pour exécuter n'importe quel code arbitraire.La vulnérabilité permet l'exécution d'un code arbitraire sur le système cible dans le contexte du propriétaire du processus Python du serveur Web sur le conteneur du serveur Web, qui est par défaut «Root», et exploite cet accès à l'attaque d'infrastructure sous-jacente et de systèmes intégrés.Cette vulnérabilité affecte les versions Fides `2.11.0` via` 2.19.0`.L'exploitation est limitée aux clients API avec la portée d'autorisation `Connector_Template_Register`.Dans l'interface utilisateur Fides Admin, cette portée est limitée aux utilisateurs très privilégiés, en particulier les utilisateurs racine et les utilisateurs avec le rôle du propriétaire.L'exploitation n'est possible que si le paramètre de configuration de sécurité `allow_custom_connector_functions` est activé par l'utilisateur déploiement du conteneur de serveur Web Fides, soit dans` fides.toml` ou en définissant le var `fides__security__allow_custom_connector_functions = true`.Par défaut, ce paramètre de configuration est désactivé.La vulnérabilité a été corrigée dans la version Fides `2.19.0`.Il est conseillé aux utilisateurs de passer à cette version ou plus tard pour sécuriser leurs systèmes contre cette menace.Les utilisateurs incapables de mettre à niveau doivent s'assurer que `allow_custom_connector_functions` dans` fides.toml` et le `fides__security__allow_custom_connector_functions` sont tous deux unset ou explicite sur` false`.
Fides is an open-source privacy engineering platform for managing the fulfillment of data privacy requests in a runtime environment, and the enforcement of privacy regulations in code. The Fides webserver API allows custom integrations to be uploaded as a ZIP file. This ZIP file must contain YAML files, but Fides can be configured to also accept the inclusion of custom Python code in it. The custom code is executed in a restricted, sandboxed environment, but the sandbox can be bypassed to execute any arbitrary code. The vulnerability allows the execution of arbitrary code on the target system within the context of the webserver python process owner on the webserver container, which by default is `root`, and leverage that access to attack underlying infrastructure and integrated systems. This vulnerability affects Fides versions `2.11.0` through `2.19.0`. Exploitation is limited to API clients with the `CONNECTOR_TEMPLATE_REGISTER` authorization scope. In the Fides Admin UI this scope is restricted to highly privileged users, specifically root users and users with the owner role. Exploitation is only possible if the security configuration parameter `allow_custom_connector_functions` is enabled by the user deploying the Fides webserver container, either in `fides.toml` or by setting the env var `FIDES__SECURITY__ALLOW_CUSTOM_CONNECTOR_FUNCTIONS=True`. By default this configuration parameter is disabled. The vulnerability has been patched in Fides version `2.19.0`. Users are advised to upgrade to this version or later to secure their systems against this threat. Users unable to upgrade should ensure that `allow_custom_connector_functions` in `fides.toml` and the `FIDES__SECURITY__ALLOW_CUSTOM_CONNECTOR_FUNCTIONS` are both either unset or explicit set to `False`. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 41319 `allow `connector `false` `fides `root` accept access admin advised affects against allow allows also any api arbitrary are attack authorization been both but bypassed can clients code configuration configured connector contain container context custom cve data default deploying disabled either enabled enforcement engineering ensure env environment execute executed execution explicit exploitation fides file files fulfillment functions=true` functions` has highly inclusion infrastructure integrated integrations later leverage limited managing must only open owner parameter patched platform possible privacy privileged process python register` regulations requests restricted role root runtime sandbox sandboxed scope secure security set setting should source specifically system systems target template threat through toml` unable underlying unset upgrade uploaded user users var version versions vulnerability webserver which within yaml zip |
| Tags | Vulnerability |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.