CVE-2021-40830

AWS IoT Device SDK v2 para Java, versões anteriores à 1.5.0 em Linux/Unix

AWS IoT Device SDK v2 para Python, versões anteriores à 1.6.1 em Linux/Unix

AWS IoT Device SDK v2 para C++, versões anteriores à 1.12.7 em Linux/Unix

AWS IoT Device SDK v2 para Node.js versões anteriores à 1.5.3 no Linux/Unix

Amazon Web Services AWS-C-IO 0.10.4 no Linux/Unix

O problema decorre do fato de o AWS IoT Device SDK v2 anexar uma Autoridade Certificadora (CA) fornecida pelo usuário às CAs raiz, em vez de substituí-la em sistemas Unix. Isso permite que os handshakes TLS sejam bem-sucedidos se o par puder ser verificado a partir da CA fornecida pelo usuário ou do armazenamento de confiança padrão do sistema. Invasores com acesso aos armazenamentos de confiança de um host ou que possam comprometer uma autoridade certificadora já presente no armazenamento de confiança do host podem usar isso para contornar o CA pinning, potencialmente falsificando o broker MQTT e descartando ou respondendo com os dados do invasor. No entanto, eles não podem encaminhar esses dados para o broker MQTT sem as chaves privadas do usuário.

Para o AWS IoT Device SDK v2 para Java em versões anteriores à 1.5.0, atualize para a versão 1.5.0 ou posterior.

Para o AWS IoT Device SDK v2 para Python em versões anteriores à 1.6.1, atualize para a versão 1.6.1 ou posterior.

Para o AWS IoT Device SDK v2 para C++ em versões anteriores à 1.12.7, atualize para a versão 1.12.7 ou posterior.

Para o AWS IoT Device SDK v2 para Node.js em versões anteriores à 1.5.3, atualize para a versão 1.5.3 ou posterior.

Para o Amazon Web Services AWS-C-IO 0.10.4, certifique-se de que o `aws