Synthese
Elastic NV veröffentlicht Sicherheitsupdates, um eine Schwachstelle mit „hohem“ Schweregrad zu beheben, die das Elastic Cloud Enterprise-Produkt betrifft. Diese Sicherheitslücke betrifft die Methoden zur Erstellung von API-Schlüsseln, die unter bestimmten Bedingungen die willkürliche Generierung neuer Schlüssel mit erhöhten Rechten auf den betroffenen Instanzen ermöglichen würden.
Risiko
Geschätzte Auswirkung der Schwachstelle auf die Referenzgemeinschaft: MITTEL/GELB (64,23/100)1.
Typologie
- Privilege Escalation
Betroffene Produkte und Versionen
Elastic Cloud Enterprise 3.x, Versionen vor 3.7.2
Schadensbegrenzungsmaßnahmen
In Übereinstimmung mit den Aussagen des Anbieters wird empfohlen, die verfügbaren Abhilfemaßnahmen entsprechend den in den Sicherheitsbulletins im Abschnitt „Referenzen“ gemeldeten Hinweisen anzuwenden.
Eindeutige Schwachstellenkennungen
Verweise
https://discuss.elastic.co/t/elastic-cloud-enterprise-3-7-2-security-update-esa-2024-18/362181
1Diese Schätzung erfolgt unter Berücksichtigung verschiedener Parameter, darunter: CVSS, Verfügbarkeit von Patches/Workarounds und PoC, Verbreitung der betroffenen Software/Geräte in der Referenz-Community.
