Vulnerabilità: CVE-2020-26276

Fleet è un gestore di fonte osquery aperta. Nella flotta prima della versione 3.5.1, a causa di problemi a livello di analisi libreria XML di Go, una risposta SAML valida può essere mutato da un utente malintenzionato di modificare il documento di fiducia. Ciò può portare a consentire login non verificate da un SAML IDP. Gli utenti che configurano Fleet con SSO login possono essere vulnerabili a questo problema. Questo problema è stato patchato in 3.5.1. La correzione è stata fatta usando https://github.com/mattermost/xml-roundtrip-validator Se l’aggiornamento a 3.5.1 non è possibile, gli utenti dovrebbero disabilitare l’autenticazione SSO a Fleet.


https://github.com/fleetdm/fleet/security/advisories/GHSA-w3wf-cfx3-6gcx
https://github.com/fleetdm/fleet/security/advisories/GHSA-w3wf-cfx3-6gcx
https://github.com/fleetdm/fleet/blob/master/CHANGELOG.md#fleet-351-dec-14-2020
https://github.com/fleetdm/fleet/blob/master/CHANGELOG.md#fleet-351-dec-14-2020
https://github.com/fleetdm/fleet/commit/57812a532e5f749c8e18c6f6a652eca65c083607
https://github.com/fleetdm/fleet/commit/57812a532e5f749c8e18c6f6a652eca65c083607
https://github.com/mattermost/xml-roundtrip-validator
https://github.com/mattermost/xml-roundtrip-validator
https://mattermost.com/blog/coordinated-disclosure-go-xml-vulnerabilities
https://mattermost.com/blog/coordinated-disclosure-go-xml-vulnerabilities
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26276


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi