जूजू में डेटाबेस क्लस्टर पर अनुचित टीएलएस (TLS) क्लाइंट/सर्वर प्रमाणीकरण और प्रमाणपत्र सत्यापन है

### प्रभाव 3.2.0 के बाद से कोई भी जूजू (Juju) कंट्रोलर। लक्ष्य जूजू (Juju) कंट्रोलर डीक्लाइट (Dqlite) क्लस्टर एंडपॉइंट के लिए केवल रूट-एबिलिटी वाला एक हमलावर डीक्लाइट (Dqlite) क्लस्टर में शामिल हो सकता है, विशेषाधिकारों को बढ़ाने, फ़ायरवॉल पोर्ट खोलने आदि सहित सभी जानकारी को पढ़ और संशोधित कर सकता है। यह क्लाइंट प्रमाणपत्र की जांच नहीं करने के कारण है, इसके अतिरिक्त, क्लाइंट सर्वर के प्रमाणपत्र (एमआईटीएम (MITM) हमला संभव) की जांच नहीं करता है, इसलिए कुछ भी हो सकता है। https://github.com/juju/juju/blob/001318f51ac456602aef20b123684f1eeeae9a77/internal/database/node.go#L312-L324 #### पीओस (PoC) नीचे दिए गए टूल का उपयोग करना। एक कंट्रोलर को बूटस्ट्रैप (Bootstrap) करें और उपयोगकर्ताओं को दिखाएं: ``` $ juju bootstrap lxd a Creating Juju controller "a" on lxd/localhost Looking for packaged Juju agent version 4.0.4 for amd64 <...> Launching controller instance(s) on localhost/localhost... - juju-fefd2b-0 (arch=amd64) Installing Juju agent on bootstrap instance Waiting for address Attempting to connect to 10.151.236.15:22 <...> Contacting Juju controller at 10.151.236.15 to verify accessibility... Bootstrap complete, controller "a" is now available Controller machines are in the "controller" model Now it's possible to run juju add-model <model-name> to create a new model