CVE-2024-29037

datahub-helm provides the Kubernetes Helm charts for deploying Datahub and its dependencies on a Kubernetes cluster. Starting in version 0.1.143 and prior to version 0.2.182, due to configuration issues in the helm chart, if there was a successful initial deployment during a limited window of time, personal access tokens were possibly created with a default secret key. Since the secret key is a static, publicly available value, someone could inspect the algorithm used to generate personal access tokens and generate their own for an instance. Deploying with Metadata Service Authentication enabled would have been difficult during window of releases. If someone circumvented the helm settings and manually set Metadata Service Authentication to be enabled using environment variables directly, this would skip over the autogeneration logic for the Kubernetes Secrets and DataHub GMS would default to the signing key specified statically in the application.yml. Most deployments probably did not attempt to circumvent the helm settings to enable Metadata Service Authentication during this time, so impact is most likely limited. Any deployments with Metadata Service Authentication enabled should ensure that their secret values are properly randomized. Version 0.2.182 contains a patch for this issue. As a workaround, one may reset the token signing key to be a random value, which will invalidate active personal access tokens.

CVSS v3 9.1 CRITICAL

9.1^/10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.2

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/acryldata/datahub-helm/commit/ea8a17860f053c63387b8309e1f77c0e1462a1b3
https://github.com/acryldata/datahub-helm/security/advisories/GHSA-82p6-9h7m-9h8j
https://github.com/acryldata/datahub-helm/commit/ea8a17860f053c63387b8309e1f77c0e1462a1b3
https://github.com/acryldata/datahub-helm/security/advisories/GHSA-82p6-9h7m-9h8j

Configurations

No configuration.

History

21 Nov 2024, 09:07

Type	Values Removed	Values Added
References	~~() https://github.com/acryldata/datahub-helm/commit/ea8a17860f053c63387b8309e1f77c0e1462a1b3 -~~	() https://github.com/acryldata/datahub-helm/commit/ea8a17860f053c63387b8309e1f77c0e1462a1b3 -
References	~~() https://github.com/acryldata/datahub-helm/security/advisories/GHSA-82p6-9h7m-9h8j -~~	() https://github.com/acryldata/datahub-helm/security/advisories/GHSA-82p6-9h7m-9h8j -
Summary		(es) datahub-helm proporciona los gráficos de Kubernetes Helm para implementar Datahub y sus dependencias en un clúster de Kubernetes. A partir de la versión 0.1.143 y antes de la versión 0.2.182, debido a problemas de configuración en el gráfico de timón, si había una implementación inicial exitosa durante un período de tiempo limitado, posiblemente se creaban tokens de acceso personal con una clave secreta predeterminada. Dado que la clave secreta es un valor estático y disponible públicamente, alguien podría inspeccionar el algoritmo utilizado para generar tokens de acceso personal y generar los suyos propios para una instancia. La implementación con la autenticación del servicio de metadatos habilitada habría sido difícil durante la ventana de lanzamientos. Si alguien eludió la configuración del timón y configuró manualmente la autenticación del servicio de metadatos para que se habilite usando variables de entorno directamente, esto omitiría la lógica de generación automática para Kubernetes Secrets y DataHub GMS usaría de forma predeterminada la clave de firma especificada estáticamente en application.yml. La mayoría de las implementaciones probablemente no intentaron eludir la configuración del timón para habilitar la autenticación del servicio de metadatos durante este tiempo, por lo que el impacto probablemente sea limitado. Cualquier implementación con la autenticación del servicio de metadatos habilitada debe garantizar que sus valores secretos estén correctamente aleatorizados. La versión 0.2.182 contiene un parche para este problema. Como workaround, se puede restablecer la clave de firma del token para que sea un valor aleatorio, lo que invalidará los tokens de acceso personal activos.

20 Mar 2024, 21:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-03-20 21:15

Updated : 2024-11-21 09:07

NVD link : CVE-2024-29037

Mitre link : CVE-2024-29037

CVE.ORG link : CVE-2024-29037

JSON object : View

Products Affected

No product.

CWE

CWE-1394

Use of Default Cryptographic Key

9.1 /10