Ethan Rose

**Nome do software vulnerável e versões afetadas** Apache Ozone versão 1.4.0 **Descrição** O problema está relacionado à autenticação incorreta de um ponto de extremidade HTTP no S3 Gateway do Apache Ozone. Isso permite que qualquer usuário Kerberos autenticado revogue e gere novamente os segredos S3 de qualquer outro usuário, mas somente se determinadas condições forem atendidas: `ozone.s3g.secret. http.enabled` estiver definido como true e o usuário configurado em `ozone.s3g.kerberos.principal` também estiver configurado em `ozone.s3.administrators` ou `ozone.administrators`. **Recomendações** Atualize para a versão 1.4.1 do Apache Ozone, que desativa o endpoint afetado. Como solução alternativa temporária, considere definir `ozone.s3g.secret.http.enabled` como false para impedir a exploração. Restrinja o acesso ao S3 Gateway para minimizar o risco de regeneração não autorizada de segredos S3.

**Nome do software vulnerável e versões afetadas** Versões do Apache Ozone anteriores à 1.2.0 **Descrição** Devido a um bug, a falha permite que qualquer usuário não autenticado acesse metadados dos pontos de extremidade HTTP do Recon, que fornecem acesso a metadados do OM, SCM e Datanode. **Recomendações** Para versões anteriores à 1.2.0, atualize para a versão 1.2.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos pontos de extremidade HTTP do Recon até que um patch esteja disponível.