Cloud-inIT是一款用于云平台的虚拟机初始化工具。3月20日,debian发布了安全更新,修复了Cloud-inIT中发现的信息泄露漏洞。以下是漏洞详情:
漏洞详情
CVE-2021-3429 严重程度: 重要
cloud-inIT能够为系统用户生成并设置随机密码。通过传递诸如以下内容的云配置数据,可以在运行时启用此功能:
chpaSSwd:列表:| User1:Random
当以这种方式使用时,cloud-inIT会将原始的、未加密的密码记录到一个全球可读的本地文件中,从而造成重要信息泄露。
受影响产品及版本
上述漏洞影响debian9 StRetch 0.7.9-2 + deb9u1之前版本
解决方案
对于debian 9 StRetch,此问题已在版本0.7.9-2 + deb9u1中得到解决,建议及时更新cloud-inIT软件包。
查看更多漏洞信息 以及升级请访问官网:
