1Nfocalypse

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache Druid anteriores a 35.0.0 **Descrição** O autenticador Kerberos do Apache Druid utiliza um segredo de fallback fraco quando a configuração `druid.auth.authenticator.kerberos.cookieSignatureSecret` não é definida explicitamente. O segredo é gerado usando `ThreadLocalRandom`, que não é um gerador de números aleatórios criptograficamente seguro. Isso poderia permitir que um atacante previsse ou atacasse por força bruta o segredo usado para assinar cookies de autenticação, possibilitando potencialmente a falsificação de token ou o bypass de autenticação. Cada processo gera seu próprio segredo de fallback, resultando em segredos inconsistentes entre os nós, causando falhas de autenticação em implantações distribuídas ou com múltiplos brokers. **Recomendações** Versões anteriores a 35.0.0 devem ser atualizadas para a versão 35.0.0, que corrige o problema e torna obrigatório definir `druid.auth.authenticator.kerberos.cookieSignatureSecret` ao usar o autenticador Kerberos. Os serviços falharão ao iniciar se o segredo não for definido.