Vulnerabilità: CVE-2020-5229

A cielo aperto prima di 8.1 memorizza le password utilizzando l’algoritmo MD5 hash piuttosto antiquato e crittograficamente insicuro. Inoltre, gli hash vengono salate utilizzando il nome utente al posto di un sale casuale, causando gli hash per gli utenti con lo stesso nome utente e password per Collide che è problematico soprattutto per gli utenti più popolari come il default `admin` utente. Questo significa essenzialmente che per un attaccante, potrebbe essere possibile ricostruire la password dato accesso di un utente a questi hash. Si noti che gli attaccanti che necessitano l’accesso ai mezzi hash che devono ottenere l’accesso al database in cui questi vengono memorizzati prima di essere in grado di avviare le password di cracking. Il problema è affrontato in cielo aperto 8.1, che ora utilizza l’algoritmo di hash della password bcrypt moderna e molto più forte per la memorizzazione delle password. Nota, che i vecchi hash MD5 rimangono fino a quando la password viene aggiornato. Per un elenco di utenti i cui hash delle password sono memorizzati utilizzando MD5, date un’occhiata alla user-utils / utenti / md5.json` endpoint `/ REST.


https://github.com/opencast/opencast/security/advisories/GHSA-h362-m8f2-5x7c
https://github.com/opencast/opencast/commit/32bfbe5f78e214e2d589f92050228b91d704758e
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5229


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi