CVE-2020-8631

cloud-initにおいて、cloudinit/util.pyのrand_strでrandom.choice関数が呼び出されるため、ランダムなパスワードがMersenne Twisterに依存しており、攻撃者がパスワードを予測しやすくなります。

CVE-2020-8632

cloud-initにおいて、cloudinit/config/cc_set_passwords.pyのrand_user_passwordのpwlenデフォルト値が小さいため、攻撃者がパスワードを推測しやすくなります。

Debian 8「Jessie」では、これらの問題はバージョン0.7.6~bzr976-2+deb8u1で修正されました。

使用しているcloud-initのパッケージをアップグレードするようお勧めします。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Debian DLA-2113-1 : cloud-initセキュリティ更新プログラム

medium Nessus プラグイン ID 133875

バージョン 1.5