OpenBao प्रमाणीकरण के बिना रूट रीकी और रिकवरी रीकी कार्यों को रद्द करने की अनुमति देता है

यह भेद्यता हमलावरों को ओपनबाओ सिस्टम की उपलब्धता को बाधित करने की अनुमति देती है। अनधिकृत रीकी संचालन रद्द करने से महत्वपूर्ण डेटा हानि या सिस्टम अस्थिरता हो सकती है। चूंकि रीकी संचालन महत्वपूर्ण सुरक्षा कार्यों के लिए महत्वपूर्ण हैं, इसलिए इस भेद्यता का शोषण करने से सिस्टम की सुरक्षा और अखंडता गंभीर रूप से खतरे में पड़ सकती है। यह भेद्यता उन संगठनों के लिए विशेष रूप से हानिकारक है जो ओपनबाओ का उपयोग संवेदनशील डेटा की सुरक्षा के लिए करते हैं, क्योंकि हमलावर आसानी से महत्वपूर्ण सुरक्षा प्रक्रियाओं को बाधित कर सकते हैं।

Organizations utilizing OpenBao for secrets management and relying on its rekey functionality are at risk. Specifically, deployments with older versions (prior to 2.3.1) and those not actively monitoring their OpenBao instances are particularly vulnerable.

• linux / server:

journalctl -u openbao | grep -i "rekey cancellation"

• generic web:

curl -I http://<openbao_host>/rekey/cancel

(Expect a 403 Forbidden or similar error after mitigation)

1. 2025-06-26Disclosure

   disclosure

1. आरक्षित2025-06-20
2. प्रकाशित2025-06-26
3. संशोधित2026-04-01
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, ओपनबाओ के संस्करण 2.3.1 में अपग्रेड करने की सिफारिश की जाती है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप कॉन्फ़िगरेशन विकल्प disableunauthedrekey_endpoints=true को मैन्युअल रूप से सेट कर सकते हैं। यह अनधिकृत रीकी एंडपॉइंट्स को अक्षम कर देगा और DoS हमलों के जोखिम को कम करेगा। अपग्रेड के बाद, यह सत्यापित करें कि रीकी संचालन अपेक्षित रूप से काम कर रहे हैं और कोई त्रुटि नहीं है।