CVE-2021-40831

AWS IoT Device SDK v2 para Java, versões anteriores à 1.5.0 no macOS

AWS IoT Device SDK v2 para Python, versões anteriores à 1.7.0 no macOS

AWS IoT Device SDK v2 para C++, versões anteriores à 1.14.0 no macOS

AWS IoT Device SDK v2 para Node.js, versões anteriores à 1.6.0 no macOS

Amazon Web Services AWS-C-IO 0.10.7 no macOS

O AWS IoT Device SDK v2 para Java, Python, C++ e Node.js acrescenta uma Autoridade Certificadora (CA) fornecida pelo usuário às CAs raiz, em vez de substituí-la em sistemas macOS. Além disso, a validação SNI também não é habilitada quando a CA foi “substituída”. Isso permite que invasores com acesso aos armazenamentos de confiança de um host ou que possam comprometer uma autoridade certificadora já presente no armazenamento de confiança do host contornem o CA pinning. Um invasor poderia então se passar pelo broker MQTT, descartar tráfego e/ou responder com os dados do invasor, mas não seria capaz de encaminhar esses dados para o broker MQTT, pois ainda precisaria das chaves privadas do usuário para se autenticar junto ao broker MQTT.

Para o AWS IoT Device SDK v2 para Java em versões anteriores à 1.5.0 no macOS, atualize para a versão 1.5.0 ou posterior.

Para o AWS IoT Device SDK v2 para Python em versões anteriores à 1.7.0 no macOS, atualize para a versão 1.7.0 ou posterior.

Para o AWS IoT Device SDK v2 para C++ em versões anteriores à 1.14.0 no macOS, atualize para a versão 1.14.0 ou posterior.

Para o AWS IoT Device SDK v2 para Node.js em versões anteriores à 1.6.0 no macOS, atualize para a versão 1.6.0