Enrico Olivelli

**Nome do software vulnerável e versões afetadas** Versões do Apache Bookkeeper Java Client anteriores à 4.14.6 e à 4.15.1 **Descrição** O Apache Bookkeeper Java Client não encerra a conexão com o servidor Bookkeeper quando a verificação do nome do host via TLS falha, deixando-o vulnerável a um ataque man-in-the-middle. **Recomendações** Para versões anteriores à 4.14.6 e 4.15.1, atualize para a versão 4.14.6 ou 4.15.1 ou posterior para resolver o problema. Como solução temporária, considere desativar as conexões TLS com o servidor Bookkeeper até que um patch seja aplicado. Restrinja o acesso ao servidor Bookkeeper para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Apache Pulsar anteriores à 2.8.1 Versões do Apache Pulsar anteriores à 2.7.4 Versões do Apache Pulsar anteriores à 2.6.5 **Descrição** A vulnerabilidade permite o acesso a dados do BookKeeper que não pertencem aos tópicos acessíveis pelo usuário autenticado. A API de administração “get-message-by-id” exige que o usuário insira um tópico e um `ledger id`. O `ledger id` é um ponteiro para os dados e deve ser um ID válido para o tópico. No entanto, os controles de autorização são realizados com base no nome do tópico, e não há validação adequada de que o `ledger id` seja válido no contexto desse ledger. Isso pode permitir que um usuário leia um ledger que contenha dados pertencentes a outro locatário. **Recomendações** Para versões do Apache Pulsar anteriores à 2.8.1, atualize para a versão 2.8.1 ou posterior. Para versões do Apache Pulsar anteriores à 2.7.4, atualize para a versão 2.7.4 ou posterior. Para versões do Apache Pulsar anteriores à 2.6.5, atualize para a versão 2.6.5 ou posterior.