Marton Elek

**Nome do software vulnerável e versões afetadas** Versões do Apache Ozone anteriores à 1.2.0 **Descrição** A vulnerabilidade permite que usuários autenticados com permissão para acessar a chave recuperem tokens de bloco gerados inicialmente do banco de dados de metadados. Esses tokens podem ser usados mesmo após o acesso ter sido revogado. **Recomendações** Para versões anteriores à 1.2.0, atualize para a versão 1.2.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Apache Ozone anteriores à 1.2.0 **Descrição** A vulnerabilidade permite que um invasor acesse pontos de extremidade RPC internos entre servidores, possibilitando-lhe baixar dados brutos do Datanode e do Ozone Manager, bem como modificar a configuração de replicação do Ratis. **Recomendações** Para versões anteriores à 1.2.0, atualize para a versão 1.2.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade RPC internos entre servidores para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Apache Ozone anteriores à 1.2.0 **Descrição** O problema decorre da falta de autorização adequada para solicitações de Datanode relacionadas a contêineres no Apache Ozone, permitindo que qualquer cliente faça essas solicitações. **Recomendações** Para versões do Apache Ozone anteriores à 1.2.0, atualize para a versão 1.2.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Apache Ozone anteriores à 1.2.0 **Descrição** A vulnerabilidade permite que usuários autenticados que conheçam o ID de um bloco existente criem solicitações específicas, concedendo-lhes acesso a esses blocos e contornando verificações de segurança, como Listas de Controle de Acesso (ACL). **Recomendações** Para versões anteriores à 1.2.0, atualize para a versão 1.2.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Apache Ozone anteriores à 1.2.0 **Descrição** O problema ocorre porque o Ozone Datanode no Apache Ozone não verifica o parâmetro de modo de acesso do token de bloco. Como resultado, usuários autenticados que possuam um token de bloco READ válido podem realizar qualquer operação de gravação no mesmo bloco. **Recomendações** Para versões anteriores à 1.2.0, atualize para a versão 1.2.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao token de bloco para impedir operações de gravação não autorizadas.

**Nome do software vulnerável e versões afetadas** Versões do Apache Ozone anteriores à 1.2.0 **Descrição** A vulnerabilidade permite que usuários autenticados com credenciais válidas do Ozone S3 criem solicitações OM específicas, assumindo a identidade de qualquer outro usuário. **Recomendações** Para versões anteriores à 1.2.0, atualize para a versão 1.2.0 ou posterior para resolver o problema.