F-Secure

**Nome do software vulnerável e versões afetadas** AWS IoT Device SDK v2 para Java, versões anteriores à 1.3.3 AWS IoT Device SDK v2 para Python, versões anteriores à 1.5.18 AWS IoT Device SDK v2 para C++, versões anteriores à 1.12.7 AWS IoT Device SDK v2 para Node.js, versões anteriores à 1.5.3 **Descrição** As conexões inicializadas pelo AWS IoT Device SDK v2 não verificavam o nome do host do certificado do servidor durante o handshake TLS ao substituir Autoridades Certificadoras (CA) em seus armazenamentos de confiança no Windows. Esse problema foi corrigido nas versões 0.9.13 e posteriores do submódulo aws-c-io. **Recomendações** Para o AWS IoT Device SDK v2 para Java em versões anteriores à 1.3.3, atualize para a versão 1.3.3 ou posterior. Para o AWS IoT Device SDK v2 para Python em versões anteriores à 1.5.18, atualize para a versão 1.5.18 ou posterior. Para o AWS IoT Device SDK v2 para C++ em versões anteriores à 1.12.7, atualize para a versão 1.12.7 ou posterior. Para o AWS IoT Device SDK v2 para Node.js em versões anteriores à 1.5.3, atualize para a versão 1.5.3 ou posterior.

**Nome do software vulnerável e versões afetadas** AWS IoT Device SDK v2 para Java, versões anteriores à 1.4.2 AWS IoT Device SDK v2 para Python, versões anteriores à 1.6.1 AWS IoT Device SDK v2 para C++, versões anteriores à 1.12.7 AWS IoT Device SDK v2 para Node.js, versões anteriores à 1.5.3 AWS-C-IO versão 0.10.4 **Descrição** As conexões inicializadas pelo AWS IoT Device SDK v2 não verificavam o nome do host do certificado do servidor durante o handshake TLS ao substituir Autoridades Certificadoras (CA) em seus armazenamentos de confiança no macOS. Esse problema foi corrigido nas versões 0.10.5 e posteriores do submódulo aws-c-io. **Recomendações** Para o AWS IoT Device SDK v2 para Java em versões anteriores à 1.4.2, atualize para a versão 1.4.2 ou posterior. Para o AWS IoT Device SDK v2 para Python em versões anteriores à 1.6.1, atualize para a versão 1.6.1 ou posterior. Para o AWS IoT Device SDK v2 para C++ em versões anteriores à 1.12.7, atualize para a versão 1.12.7 ou posterior. Para o AWS IoT Device SDK v2 para Node.js em versões anteriores à 1.5.3, atualize para a versão 1.5.3 ou posterior. Para o AWS-C-IO versão 0.10.4, atualize para a versão 0.10.5 ou posterior.

**Nome do software vulnerável e versões afetadas** AWS IoT Device SDK v2 para Java, versões anteriores à 1.5.0 em Linux/Unix AWS IoT Device SDK v2 para Python, versões anteriores à 1.6.1 em Linux/Unix AWS IoT Device SDK v2 para C++, versões anteriores à 1.12.7 em Linux/Unix AWS IoT Device SDK v2 para Node.js versões anteriores à 1.5.3 no Linux/Unix Amazon Web Services AWS-C-IO 0.10.4 no Linux/Unix **Descrição** O problema decorre do fato de o AWS IoT Device SDK v2 anexar uma Autoridade Certificadora (CA) fornecida pelo usuário às CAs raiz, em vez de substituí-la em sistemas Unix. Isso permite que os handshakes TLS sejam bem-sucedidos se o par puder ser verificado a partir da CA fornecida pelo usuário ou do armazenamento de confiança padrão do sistema. Invasores com acesso aos armazenamentos de confiança de um host ou que possam comprometer uma autoridade certificadora já presente no armazenamento de confiança do host podem usar isso para contornar o CA pinning, potencialmente falsificando o broker MQTT e descartando ou respondendo com os dados do invasor. No entanto, eles não podem encaminhar esses dados para o broker MQTT sem as chaves privadas do usuário. **Recomendações** Para o AWS IoT Device SDK v2 para Java em versões anteriores à 1.5.0, atualize para a versão 1.5.0 ou posterior. Para o AWS IoT Device SDK v2 para Python em versões anteriores à 1.6.1, atualize para a versão 1.6.1 ou posterior. Para o AWS IoT Device SDK v2 para C++ em versões anteriores à 1.12.7, atualize para a versão 1.12.7 ou posterior. Para o AWS IoT Device SDK v2 para Node.js em versões anteriores à 1.5.3, atualize para a versão 1.5.3 ou posterior. Para o Amazon Web Services AWS-C-IO 0.10.4, certifique-se de que o `aws

**Nome do software vulnerável e versões afetadas** AWS IoT Device SDK v2 para Java, versões anteriores à 1.5.0 no macOS AWS IoT Device SDK v2 para Python, versões anteriores à 1.7.0 no macOS AWS IoT Device SDK v2 para C++, versões anteriores à 1.14.0 no macOS AWS IoT Device SDK v2 para Node.js, versões anteriores à 1.6.0 no macOS Amazon Web Services AWS-C-IO 0.10.7 no macOS **Descrição** O AWS IoT Device SDK v2 para Java, Python, C++ e Node.js acrescenta uma Autoridade Certificadora (CA) fornecida pelo usuário às CAs raiz, em vez de substituí-la em sistemas macOS. Além disso, a validação SNI também não é habilitada quando a CA foi “substituída”. Isso permite que invasores com acesso aos armazenamentos de confiança de um host ou que possam comprometer uma autoridade certificadora já presente no armazenamento de confiança do host contornem o CA pinning. Um invasor poderia então se passar pelo broker MQTT, descartar tráfego e/ou responder com os dados do invasor, mas não seria capaz de encaminhar esses dados para o broker MQTT, pois ainda precisaria das chaves privadas do usuário para se autenticar junto ao broker MQTT. **Recomendações** Para o AWS IoT Device SDK v2 para Java em versões anteriores à 1.5.0 no macOS, atualize para a versão 1.5.0 ou posterior. Para o AWS IoT Device SDK v2 para Python em versões anteriores à 1.7.0 no macOS, atualize para a versão 1.7.0 ou posterior. Para o AWS IoT Device SDK v2 para C++ em versões anteriores à 1.14.0 no macOS, atualize para a versão 1.14.0 ou posterior. Para o AWS IoT Device SDK v2 para Node.js em versões anteriores à 1.6.0 no macOS, atualize para a versão 1.6.0