Avisos de Segurança e CVEs

A NeuVector está comprometida em informar a comunidade sobre questões de segurança. A tabela a seguir lista os avisos de segurança e CVEs (Vulnerabilidades e Exposições Comuns) publicados para problemas resolvidos.

ID Descrição Data Resolução

CVE-2025-66001

Na versão corrigida, novas implantações da NeuVector habilitam a verificação TLS por padrão. Para atualizações contínuas, a NeuVector não altera essa configuração automaticamente para evitar interrupções.

12 de dezembro de 2025

NeuVector v5.4.8

CVE-2025-8077

Para implantações da NeuVector em ambientes baseados em Kubernetes, a senha de inicialização do usuário admin padrão agora é gerada aleatoriamente e armazenada em um segredo do Kubernetes. O admin padrão deve recuperar a senha de inicialização do segredo e alterá-la após o primeiro login bem-sucedido na interface do usuário.

25 de agosto de 2025

NeuVector v5.4.6

CVE-2025-53884

A NeuVector agora utiliza um sal criptograficamente seguro com o algoritmo PBKDF2 em vez de um hash simples para proteger as senhas dos usuários. Durante atualizações contínuas de versões anteriores, a NeuVector recalcula e armazena o novo hash da senha após o próximo login bem-sucedido de cada usuário.

25 de agosto de 2025

NeuVector v5.4.6

CVE-2025-54467

A NeuVector agora oculta comandos de processo contendo password, passwd, pwd, token ou key dos logs e saídas de depuração por padrão. Os usuários podem configurar um ConfigMap do Kubernetes para definir padrões regex adicionais para ocultação.

25 de agosto de 2025

NeuVector v5.4.6

CVE-2025-46808

Informações sensíveis podem ser registradas no contêiner do gerenciador, dependendo da configuração de registro e das permissões de credenciais.

09 de julho de 2025

NeuVector v5.4.5

CVE-2024-38095

No .NET, um certificado ou cadeia X.509 malicioso pode causar uso excessivo da CPU, levando a uma negação de serviço. Este CVE foi sinalizado como um problema de detecção de biblioteca .NET afetada.

9 de julho de 2024

NeuVector v5.4.5

CVE-2024-7347

A vulnerabilidade do NGINX ngx_http_mp4_module permite que arquivos MP4 manipulados causem leituras excessivas de memória e a terminação do processo de trabalho. Relatado no NeuVector 5.4.2 como um possível false negative na detecção do scanner de vulnerabilidades; não é um problema do produto NeuVector.

14 de agosto de 2024

NeuVector v5.4.2

CVE-2018-20796

Na GNU C Library até 2.29, check_dst_limits_calc_pos_1 em posix/regexec.c tem recursão descontrolada.

15 de janeiro de 2025

Não aplicável. Sinalizado em v5.4.2 como um false positive.

CVE-2024-41110

Uma vulnerabilidade de segurança em algumas versões do Docker Engine pode permitir que um atacante contorne plugins de autorização (AuthZ). A probabilidade de exploração é baixa.

16 de novembro de 2024

NeuVector v5.4.1

CVE-2020-26160

jwt-go permite que atacantes contornem restrições de acesso quando []string{} é usado para m["aud"]. Os usuários devem migrar para golang-jwt v3.2.1.

16 de novembro de 2024

NeuVector v5.4.1

OpenID Connect é vulnerável a MITM

Versões afetadas

  • Todas as versões anteriores a 5.3.0

  • Versões 5.3.0 até 5.4.7

Versão corrigida: 5.4.8

Impacto

NeuVector suporta autenticação usando OpenID Connect. A verificação TLS, que valida a autenticidade e integridade do servidor remoto, não é aplicada por padrão. Isso pode expor o sistema a ataques de man-in-the-middle (MITM).

A partir da versão 5.4.0, o NeuVector suporta verificação TLS para:

  • Conexões de registro

  • Conexões de servidor de autenticação (SAML, LDAP e OIDC)

  • Conexões de webhook

Por padrão, a verificação TLS permanece desativada. A configuração está disponível em Configurações → Configuração na interface do usuário do NeuVector.

Na versão corrigida, novas implantações do NeuVector habilitam a verificação TLS por padrão. Atualizações contínuas não modificam configurações existentes para evitar interrupção do serviço.

Quando a verificação TLS está habilitada, ela se aplica a:

  • Servidores de registro

  • Servidores de autenticação (SAML, LDAP e OIDC)

  • Servidores de webhook

Patches

Versões corrigidas incluem o lançamento v5.4.8 e posteriores.

Soluções alternativas

Para habilitar a verificação TLS manualmente:

  1. Abra a interface do usuário do NeuVector.

  2. Navegue até Configurações → Configuração.

  3. Em Configuração do Certificado Autoassinado TLS, selecione Habilitar verificação TLS.

  4. (Opcional) Faça o upload ou cole o certificado autoassinado TLS.

Perguntas e Suporte

  • Entre em contato com a equipe de Segurança do SUSE Rancher para consultas relacionadas à segurança.

  • Abra uma issue no repositório do NeuVector.

  • Revise a matriz de suporte e o ciclo de vida do suporte ao produto.

O NeuVector está enviando material criptográfico em seu binário

Versões afetadas

  • Todas as versões anteriores a 5.3.0

  • Versões 5.3.0 até 5.4.6

Versão corrigida: 5.4.7

Impacto

O NeuVector anteriormente usava uma chave criptográfica codificada fixamente embutida no código-fonte. Durante a compilação, esse valor foi substituído por uma chave secreta estática usada para criptografar campos de configuração sensíveis.

Na versão corrigida, o NeuVector usa o segredo do Kubernetes neuvector-store-secret (no namespace neuvector) para gerar chaves de criptografia dinâmicas e seguras. Isso remove a dependência de chaves estáticas e melhora a segurança armazenando chaves em segredos gerenciados pelo Kubernetes.

Durante atualizações contínuas ou ao restaurar de armazenamento persistente, o controlador do NeuVector verifica campos de configuração criptografados. Se um campo estiver criptografado com a chave fixa padrão, ele é descriptografado e recriptografado usando a nova chave dinâmica.

Se o controlador não tiver permissões RBAC para acessar o segredo do Kubernetes, ele registra:

Required Kubernetes RBAC for secrets are not found

e fecha.

As chaves de criptografia do dispositivo são rotacionadas a cada 3 meses. Para mais detalhes, consulte: Rotacionando campo sensível na configuração.

Patches

Versões corrigidas incluem o lançamento v5.4.7 e posteriores.

Soluções alternativas

Nenhuma solução alternativa está disponível. Atualize para uma versão corrigida o mais rápido possível.

Perguntas e Suporte

O remetente de telemetria é vulnerável a MITM e DoS

Versões afetadas

  • Todas as versões anteriores a 5.3.0

  • Versões 5.3.0 até 5.4.6

Versões corrigidas: 5.4.7, 5.3.5

Impacto

Essa vulnerabilidade afeta as implantações do NeuVector apenas quando Relatar dados anônimos do cluster está habilitado. Quando ativo, o NeuVector envia dados de telemetria anônimos para:

https://upgrades.neuvector-upgrade-responder.livestock.rancher.io

Nas versões afetadas, a verificação do certificado TLS não é aplicada, tornando a comunicação de telemetria vulnerável a ataques MITM. Um atacante poderia interceptar ou modificar os dados transmitidos.

O NeuVector também carregou a resposta do servidor de telemetria na memória sem limites de tamanho, expondo o sistema a riscos de negação de serviço (DoS).

A versão corrigida inclui:

  • Verificação da cadeia de certificados TLS e do nome do host para o servidor de telemetria.

  • Um limite de tamanho de resposta de 256 bytes para mitigar a exaustão de memória.

Essas melhorias são ativadas por padrão e não requerem ação do usuário.

Patches

Versões corrigidas incluem o lançamento v5.4.7 e posteriores.

Soluções alternativas

Se você não puder atualizar, desative Relatar dados anônimos do cluster:

Configurações → Configuração → Relatar dados anônimos do cluster

Desativar esta configuração impede que o NeuVector envie dados de telemetria, reduzindo a exposição a essa vulnerabilidade.

Recomendação: Faça upgrade para uma versão com patch o mais rápido possível.

Perguntas e Suporte

Exposição de Informações Sensíveis nos Arquivos de Registro do Contêiner do NeuVector Manager

CVEs: CVE-2025-46808
Pontuação CVSS: 6.8 — Vetor CVSS v3.1
CWE: CWE-532: Inserção de Informações Sensíveis em Arquivo de Registro

Versões afetadas

  • Todas as versões anteriores a 5.0.0

  • Versões 5.0.0 até 5.4.4

Versão corrigida: 5.4.5

Impacto

Uma vulnerabilidade nas versões do NeuVector até e incluindo 5.4.4 pode vazar informações sensíveis nos arquivos de registro do contêiner do NeuVector Manager. Os seguintes campos podem aparecer nos logs:

Campo Descrição do Campo Onde Aparece Reprodução Ambiente

X-R-Sess

Token de sessão do Rancher para login único

Cabeçalho da solicitação

Faça login pela interface do Rancher e acesse o SSO do NeuVector

Rancher com SSO do NeuVector

personal_access_token

Token do GitHub ou Azure DevOps

Corpo da solicitação

Envie a configuração do repositório remoto em Configuração > Configurações

NeuVector

token1.token

Token da sessão do usuário NeuVector

Corpo da resposta

Envie uma solicitação GET através da API NeuVector: https://<neuvector-ui-url>/user?name=<username>;

NeuVector

rekor_public_key, root_cert, sct_public_key

Chave pública Rekor, certificado raiz, timestamp de certificado assinado (SCT) na raiz de confiança privada

Corpo da solicitação

Crie ou atualize a raiz de confiança privada na página do Sigstore

NeuVector

public_key

Chave pública do verificador

Corpo da solicitação

Crie ou atualize o verificador na página do Sigstore

NeuVector

Instalações do NeuVector com integração de login único com o Rancher Manager e Configuração do Repositório Remoto desativada não são afetadas.

Na versão corrigida, X-R-Sess está parcialmente mascarado. Outros campos sensíveis (personal_access_token, token, rekor_public_key, root_cert, sct_public_key, public_key) são removidos dos logs.

  • A gravidade depende da sua estratégia de registro:

    • Registro local (padrão) — limita a exposição.

    • Registro externo — a gravidade aumenta, dependendo dos controles de segurança nos coletores de logs externos.

  • A gravidade do impacto final depende das permissões das credenciais vazadas.

Para mais informações, veja Credenciais não seguras (MITRE ATT&CK T1552).

Patches

Versões corrigidas incluem o lançamento 5.4.5 e posteriores. Gire o token do GitHub usado na Configuração do Repositório Remoto após fazer upgrade.

Soluções alternativas

Nenhuma solução alternativa está disponível. Faça upgrade para uma versão corrigida o mais rápido possível.

Perguntas e Suporte