使用LDAP身份验证方法时,HashiCorp的Vault和Vault Enterprise存在用户枚举漏洞。攻击者可以提交存在和不存在的LDAP用户的请求,并观察来自Vault的响应,以检查帐户是否在LDAP服务器上有效。Vault 1.14.1和1.13.5中修复了此漏洞。
"将组件 github.com/hashicorp/vault/builtin/credential/ldap 升级至 1.13.5 及以上版本"
"将组件 github.com/hashicorp/vault/builtin/credential/ldap 升级至 1.14.1 及以上版本"
"将组件 github.com/hashicorp/vault/vault 升级至 1.13.5 及以上版本"
"将组件 github.com/hashicorp/vault 升级至 1.13.5 及以上版本"
"将组件 github.com/hashicorp/vault/vault 升级至 1.14.1 及以上版本"