Vulnerabilità: CVE-2020-26214

In Alerta prima della versione 8.1.0, gli utenti potrebbero essere in grado di autenticazione LDAP bypass se prevedono una password vuota quando il server è Alerta configurare per utilizzare LDAP come provider di autorizzazione. Solo implementazioni in cui i server LDAP sono configurati per consentire meccanismo di autenticazione non autenticato di autorizzazione anonima sono interessati. Una correzione è stata implementata nella versione 8.1.0 che i rendimenti HTTP 401 non autorizzato di risposta per eventuali tentativi di autenticazione in cui il campo password è vuoto. Per risolvere il problema gli amministratori LDAP possono rifiutare richieste di associazione non autenticate dai clienti.


https://github.com/alerta/alerta/security/advisories/GHSA-5hmm-x8q8-w5jh
https://github.com/alerta/alerta/security/advisories/GHSA-5hmm-x8q8-w5jh
https://github.com/alerta/alerta/commit/2bfa31779a4c9df2fa68fa4d0c5c909698c5ef65
https://github.com/alerta/alerta/commit/2bfa31779a4c9df2fa68fa4d0c5c909698c5ef65
https://github.com/alerta/alerta/issues/1277
https://github.com/alerta/alerta/issues/1277
https://github.com/alerta/alerta/pull/1345
https://github.com/alerta/alerta/pull/1345
https://pypi.org/project/alerta-server/8.1.0/
https://pypi.org/project/alerta-server/8.1.0/
https://tools.ietf.org/html/rfc4513#section-5.1.2
https://tools.ietf.org/html/rfc4513#section-5.1.2
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26214


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi