Redpanda 存在凭据泄露漏洞-低调大师

Redpanda 存在凭据泄露漏洞

2023-02-14 555

漏洞描述

Redpanda 是一个面向开发者的流数据平台。

该项目受影响版本存在凭据泄露漏洞，由于该项目的import.go代码在导入rpk文件时会以明文形式将AWS Access Key ID和Secret记录到标准输出中。具有本地用户权限的攻击者可以通过控制台中查看密钥，或通过Kubernetes日志查看(如果Kubernetes日志记录标准输出)。

漏洞名称	Redpanda 存在凭据泄露漏洞
漏洞类型	敏感数据的明文传输
发现时间	2023-02-14
漏洞影响广度	小
MPS编号	MPS-2023-3112
CVE编号	CVE-2023-24619
CNVD编号	-

影响范围

Redpanda @[22.3.1, 22.3.12)

Redpanda @[22.2.1, 22.2.10)

Redpanda @[22.1.1, 22.1.12)

修复方案

升级Redpanda 到22.1.12 、 22.2.10 、22.3.12 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-3112

https://nvd.nist.gov/vuln/detail/CVE-2023-24619

https://github.com/redpanda-data/redpanda/pull/8339、 PR

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/228347

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

魔豆文库（moredoc） v1.0.0 发布，类百度文库解决方案，dochub 文库重构版

MoreDoc魔豆文库系统是使用 Go 语言开发实现的类百度文库、新浪爱问文库解决方案，为dochub文库的重构版本，支持 office (全部类型)、PDF、TXT、EPUB、MOBI 等多种文档格式的在线阅读浏览，支持无限级分类、批量上传、批量转换、全文搜索等功能，拥有简洁美观的用户视觉和功能体验。技术栈 Golang ：gin + gRPC + GORM Vue.js : nuxt2 + element-ui Database : MySQL 5.7 功能特征前后端分离注册登录以及密码找回支持横幅支持无限级分类文档批量上传支持回收站功能，删除的文档还可以恢复支持office、pdf、txt、epub、mobi等多种文档格式预览文档批量转换(普惠版) 全文搜索(普惠版) 注：当前只是 1.0 版本，只有PC站点，移动端适配以及小程序等更多功能将在后续版本推出。演示站点程序体验，一睹为快！网址： https://moredoc.mnt.ltd 管理员账号： admin 管理员密码： mnt.ltd 演示站点，每天凌晨 1:00 ~ 6:00，每隔一小时重置一次...

2023-02-15

509

作者：vivo 互联网服务器团队- Xiong yangxin 将某个通用解决方案包装成成熟的工具包，是每一个技术建设工作者必须思考且必须解决的问题。本文从业内流行的既有工具包入手，解析实现思路，沉淀一般方法。为技术建设的初学者提供一些实践思路的参考。尤其是文中提倡的“去中心化”的协作模式，和“关键链路+开发接口”的开发模式，具有一定的实际落地意义。当然本文在行文中，不可避免存在一定主观偏见性，读者可酌情阅读。一、前言熟悉JAVA服务器开发的同学应该都使用过日志模块，并且大概率使用过"log4j-over-slf4j"和“slf4j-log4j”这两个包。那么这两个包的区别是什么？为什么会互相引用包含呢？这篇文章会解释下这几个概念的区别。首先说一下SLF4J。二、从SLF4J开始 SLF4J全称"Simple Logging Facade for Java (SLF4J)", 它诞生之初的目的，是为了针对不同的log解决方案，提供一套统一的接口适配标准，从而让业务代码无须关心使用到的第三方模块都使用了哪些log方案。举个例子， Apache Dubbo和RabbitMQ使用到...

2023-02-15

563

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。