BDU:2024-01786
HashiCorp, ООО «Ред Софт» Vault Enterprise, Vault, РЕД ОС
2023-03-29
Уязвимость компонента MSSQL Database Storage Backend платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные SQL-команды
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций: Для Vault и Vault Enterprise: https://discuss.hashicorp.com/t/hcsec-2023-12-vault-s-microsoft-sql-database-storage-backend-vulnerable-to-sql-injection-via-configuration-file/52080/1
Для РедоС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/