Terraform<1.5.7 任意文件写入漏洞
漏洞描述
Terraform 是一个开源的基础设施即代码(IAC)工具,允许用户使用声明性语言定义和配置基础设施资源,如虚拟机、存储、网络等。多数国内外云厂商的基础设施自动化都在使用Terraform。
Terraform 受影响版本中,由于在执行模块的初始化之前未对模块名进行校验,当 Terraform 执行初始化操作时,攻击者可通过构造恶意的模块名在任意位置写入文件,再通过其调用系统上其他可执行程序的逻辑,劫持对应内容,写入恶意的代码,即可达到任意命令执行。
当云厂商允许用户通过自定义 Terraform 语法配置和管理云上资产时会受到此漏洞影响,Terraform Cloud 和 Terraform Enterprise 不受影响。
漏洞名称 | Terraform<1.5.7 任意文件写入漏洞 |
---|---|
漏洞类型 | 路径遍历 |
发现时间 | 2023-09-15 |
漏洞影响广度 | 广 |
MPS编号 | MPS-krc8-d4u9 |
CVE编号 | CVE-2023-4782 |
CNVD编号 | - |
影响范围
github.com/hashicorp/terraform@[1.0.8, 1.5.7)
修复方案
将 github.com/hashicorp/terraform 升级至 1.5.7 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-krc8-d4u9
https://nvd.nist.gov/vuln/detail/CVE-2023-4782
https://github.com/hashicorp/terraform/commit/06581d5d15151c1f87a804aed202a0a1abf83697
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Ant Design 5.9.1 发布,企业级 UI 设计语言和 React 实现
Ant Design5.9.1现已发布,主要变化如下: 修复小尺寸 Select 组件controlHeightSMtoken 配置无效的问题。#44859 修复 Rate 组件星星变换中心不在正中心的问题。#44855 修复 DatePicker 组件dateTime模式切换输入框不会触发onCalendarChange的问题。#44845 修复 Tablevirtual配置下,选择框没有居中对齐的问题。#44786 修复 Select 开启maxTagCount时搜索光标偏上的问题。#44757 修复 Select 的 label 为 Typography 组件时的选中文本对齐问题。#44756 修复 Tablevirtual开启虚拟滚动时,当columns小于表格宽度会显示异常的问题以及部分边框、悬浮样式丢失的问题。#44818 修复 Select 组件在 Inputaddon中使用时的样式错误。#44825 修复 Tree 组件样式,使 Checkbox 与文字第一行对齐。#44827 修复 Card 组件 Card.Grid 边缘样式问题。#44801 修复 Select/C...
- 下一篇
Vercel 新产品
Vercel 发布了一款根据文本生成 UI 界面代码的新产品:v0。 体验地址:https://v0.dev/ 据介绍,只需要输入文字提示,即可生成需要的 UI 组件界面,而且可以直接复制代码粘贴到需要使用的任何地方。 主要特性 即时生成:可以根据用户的文本提示即时生成UI组件,这为用户提供了快速的实时反馈和迭代能力。 支持实时修改:通过提供更具体和详细的提示来获得更精确的结果。 简单易用:用户只需提供简单的文本提示,无需复杂的设计或编程知识。 集成多种组件:提供了多种 UI 组件的示例,如音乐播放器、发票表格等,这为用户提供了丰富的选择。 Vercel CEO 表示构建 "v0" 的技术栈全部出自 Vercel:
相关文章
文章评论
共有0条评论来说两句吧...