12 results (0.008 seconds)

CVSS: 5.5EPSS: 0%CPEs: 3EXPL: 0

A flaw was found in Ceph-ansible v4.0.41 where it creates an /etc/ceph/iscsi-gateway.conf with insecure default permissions. This flaw allows any user on the system to read sensitive information within this file. The highest threat from this vulnerability is to confidentiality. Se ha encontrado un fallo en Ceph-ansible v4.0.41 en el que se crea un archivo /etc/ceph/iscsi-gateway.conf con permisos inseguros por defecto. Este fallo permite a cualquier usuario del sistema leer información sensible dentro de este archivo. • https://bugzilla.redhat.com/show_bug.cgi?id=1892108 https://access.redhat.com/security/cve/CVE-2020-25677 • CWE-312: Cleartext Storage of Sensitive Information •

CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 1

A flaw was found in the ceph-ansible playbook where it contained hardcoded passwords that were being used as default passwords while deploying Ceph services. Any authenticated attacker can abuse this flaw to brute-force Ceph deployments, and gain administrator access to Ceph clusters via the Ceph dashboard to initiate read, write, and delete Ceph clusters and also modify Ceph cluster configurations. Versions before ceph-ansible 6.0.0alpha1 are affected. Se encontró un fallo en el playbook ceph-ansible donde contenía contraseñas embebidas que fueron usadas como contraseñas predeterminadas al implementar los servicios de Ceph. Cualquier atacante autenticado puede abusar de este fallo para forzar las implementaciones de Ceph y conseguir acceso de administrador a los clústeres de Ceph por medio del panel de control de Ceph para iniciar la lectura, escritura y eliminación de clústeres de Ceph y también modificar las configuraciones de los clústeres de Ceph. • https://bugzilla.redhat.com/show_bug.cgi?id=1795592 https://access.redhat.com/security/cve/CVE-2020-1716 • CWE-798: Use of Hard-coded Credentials •

CVSS: 6.8EPSS: 0%CPEs: 5EXPL: 0

A flaw was found in the way the Ceph RGW Beast front-end handles unexpected disconnects. An authenticated attacker can abuse this flaw by making multiple disconnect attempts resulting in a permanent leak of a socket connection by radosgw. This flaw could lead to a denial of service condition by pile up of CLOSE_WAIT sockets, eventually leading to the exhaustion of available resources, preventing legitimate users from connecting to the system. Se encontró un fallo en la manera en que el front-end Ceph RGW Beast maneja desconexiones inesperadas. Un atacante autenticado puede abusar de este fallo al realizar múltiples intentos de desconexión resultando en una fuga permanente de una conexión de socket mediante radosgw. • http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00009.html https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1700 https://lists.debian.org/debian-lts-announce/2023/10/msg00034.html https://usn.ubuntu.com/4304-1 • CWE-400: Uncontrolled Resource Consumption •

CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 0

A flaw was found in the Ceph RGW configuration with Beast as the front end handling client requests. An unauthenticated attacker could crash the Ceph RGW server by sending valid HTTP headers and terminating the connection, resulting in a remote denial of service for Ceph RGW clients. Se detectó un fallo en la configuración de Ceph RGW con Beast como el front-end que maneja las peticiones de clientes. Un atacante no autenticado podría bloquear el servidor Ceph RGW mediante el envío de encabezados HTTP válidos y finalizando la conexión, resultando en una denegación de servicio remota para los clientes de Ceph RGW. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10222 https://lists.debian.org/debian-lts-announce/2023/10/msg00034.html https://tracker.ceph.com/issues/40018 https://access.redhat.com/security/cve/CVE-2019-10222 https://bugzilla.redhat.com/show_bug.cgi?id=1739292 • CWE-755: Improper Handling of Exceptional Conditions •

CVSS: 7.5EPSS: 1%CPEs: 4EXPL: 0

A flaw was found in the way civetweb frontend was handling requests for ceph RGW server with SSL enabled. An unauthenticated attacker could create multiple connections to ceph RADOS gateway to exhaust file descriptors for ceph-radosgw service resulting in a remote denial of service. Se ha encontrado un error en la forma en la que el frontend de civetweb manejaba peticiones para el servidor RGW de ceph con SSL habilitado. Un atacante no autenticado podría crear múltiples conexiones al gateway RADOS de ceph para agotar los descriptores de archivo para el servicio ceph-radosgw, lo que resulta en una denegación de servicio (DoS) remota. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3821 https://github.com/ceph/civetweb/pull/33 https://usn.ubuntu.com/4035-1 • CWE-772: Missing Release of Resource after Effective Lifetime •