cloud-init-19.4-11.el8

エラータID: AXSA:2021-1222:01

リリース日: 
2021/01/16 Saturday - 08:03
題名: 
cloud-init-19.4-11.el8
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- cloud-initのcloudinit/util.pyのrand_str関数には、
擬似乱数発生器を用いたrandom.choice関数を呼び出しているため、
攻撃者がパスワードを予測することを容易にしてしまう脆弱性が
あります。(CVE-2020-8631)

- cloud-init の cloudinit/config/cc_set_passwords.py
で定義される rand_user_password() 関数 には、この関数が
生成するパスワード長の既定値が小さいため、攻撃者にとって
推測を容易にしている脆弱性があります。(CVE-2020-8632)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2020-8631
cloud-init through 19.4 relies on Mersenne Twister for a random password, which makes it easier for attackers to predict passwords, because rand_str in cloudinit/util.py calls the random.choice function.
CVE-2020-8632
In cloud-init through 19.4, rand_user_password in cloudinit/config/cc_set_passwords.py has a small default pwlen value, which makes it easier for attackers to guess passwords.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. cloud-init-19.4-11.el8.src.rpm
    MD5: 4a034ace516726d953acd362e0fea4cd
    SHA-256: 970ee7460cdbb4cc505fca32cb1e371222383fa6641752e439925309713252e3
    Size: 1.10 MB

Asianux Server 8 for x86_64
  1. cloud-init-19.4-11.el8.noarch.rpm
    MD5: f682a9e93ca18da9d4d4e968332209e5
    SHA-256: ecbb2e207c8f6479d73095c00c16325efbc667e541064640ff3858c07372ac45
    Size: 933.42 kB