जुजू एपीआई सर्वर में डिनायल ऑफ़ सर्विस और अनसिंक्रोनाइज़्ड टोकन मैप के माध्यम से प्रमाणीकरण रीप्ले

CVE-2026-5774 Juju API सर्वर को प्रभावित करता है, विशेष रूप से localLoginHandlers संरचना। यह संरचना स्थानीय प्रमाणीकरण सफल होने के बाद डिस्चार्ज टोकन को संग्रहीत करने के लिए इन-मेमोरी मैप का उपयोग करती है। भेद्यता इस तथ्य में निहित है कि इस मैप को किसी भी सिंक्रोनाइज़ेशन प्रिमिटिव (जैसे कि म्यूटक्स) के बिना कई HTTP हैंडलर गोरूटीन द्वारा समवर्ती रूप से एक्सेस किया जाता है। इससे टोकन को एक साथ पढ़ने, लिखने या हटाने पर Go रनटाइम पैनिक हो सकता है। सबसे खराब स्थिति में, डिस्चार्ज टोकन को हटाने से पहले कई बार उपभोग किया जा सकता है, जिससे Juju वातावरण के भीतर संसाधनों या कार्यों तक अनधिकृत पहुंच हो सकती है।

Organizations heavily reliant on Juju for application deployment and management are at significant risk. This includes cloud providers, DevOps teams, and any environment where Juju is used to orchestrate applications, especially those handling sensitive data or critical infrastructure. Environments with legacy Juju installations or those that have not implemented robust access controls are particularly vulnerable.

• linux / server: Monitor Juju API server logs for Go runtime panics or unusual authentication patterns. Use journalctl -u juju-api-server to filter for error messages related to discharge token handling.

journalctl -u juju-api-server | grep -i "panic"

• go: Review Juju source code for potential concurrency issues in the localLoginHandlers struct and related functions. Use static analysis tools to identify potential race conditions. • generic web: Monitor authentication endpoints for unusual request patterns or excessive authentication attempts. Check access logs for errors related to discharge token handling.

1. 2026-04-10Disclosure

   disclosure

1. आरक्षित2026-04-08
2. प्रकाशित2026-04-10
3. संशोधित2026-04-12
4. EPSS अद्यतन2026-04-18

प्रदान किया गया फिक्स (0.0.0-20260408003526-d395054dc2c3) डिस्चार्ज टोकन मैप तक समवर्ती पहुंच की सुरक्षा के लिए म्यूटक्स जैसे उपयुक्त सिंक्रोनाइज़ेशन तंत्रों को पेश करके इस भेद्यता को संबोधित करता है। जल्द से जल्द इस पैच किए गए संस्करण में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, अपने Juju वातावरण की सुरक्षा नीतियों की समीक्षा करें और अधिकृत उपयोगकर्ताओं और सेवाओं तक संसाधनों की पहुंच को सीमित करें। Juju API सर्वर लॉग की निगरानी त्रुटियों या असामान्य व्यवहार के लिए भी संभावित शोषण प्रयासों का पता लगाने में मदद कर सकती है। अतिरिक्त सुरक्षा परत के रूप में बहु-कारक प्रमाणीकरण (MFA) को लागू करने पर विचार करें।