漏洞信息详情
Atlantis 安全漏洞
- CNNVD编号:CNNVD-202207-2759
- 危害等级: 高危
- CVE编号: CVE-2022-24912
- 漏洞类型: 其他
- 发布时间: 2022-07-29
- 威胁类型:
- 更新时间: 2022-08-01
- 厂 商:
- 漏洞来源:
漏洞简介
Atlantis是Atlantis开源的一个自托管的 golang 应用程序。通过 webhook 监听 Terraform 拉取请求事件。
Atlantis 0.19.7之前版本存在安全漏洞,该漏洞源于软件包github.com/runatlantis/atlantis/server/controllers/events在webhook事件验证器代码中存在Timing Attack漏洞,该代码没有使用恒定时间比较函数来验证webhook密钥,它可以让攻击者以攻击者的身份恢复这个秘密,然后伪造webhook事件。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/runatlantis/atlantis/commit/48870911974adddaa4c99c8089e79b7d787fa820
参考网址
来源:CONFIRM
链接:https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMRUNATLANTISATLANTISSERVERCONTROLLERSEVENTS-2950851
来源:CONFIRM
链接:https://github.com/runatlantis/atlantis/issues/2391
来源:CONFIRM
链接:https://github.com/runatlantis/atlantis/commit/48870911974adddaa4c99c8089e79b7d787fa820
来源:cxsecurity.com
链接:https://cxsecurity.com/cveshow/CVE-2022-24912/
受影响实体
暂无
补丁
- Atlantis 安全漏洞的修复措施
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论