CVE-2021-41278

Versões do app-functions-sdk-go anteriores à 2.1.0

Versões do app-service-configurable anteriores à 2.1.0

O app-functions-sdk exporta uma transformação aes que os scripts do usuário podem chamar opcionalmente para criptografar dados no pipeline de processamento. Não é fornecida nenhuma função de descriptografia. A criptografia não está habilitada por padrão, mas, se usada, o nível de proteção pode ser inferior ao esperado pelo usuário devido a uma implementação defeituosa. Isso permite que invasores descriptografem mensagens por meio de vetores não especificados. A implementação defeituosa permanecerá em um estado obsoleto até ser removida na próxima versão principal do EdgeX, a fim de evitar quebra de software existente que dependa dessa implementação.

Para versões do app-functions-sdk-go anteriores à 2.1.0, atualize para a versão 2.1.0 e modifique os scripts do usuário para usar a nova transformação aes256 no lugar da transformação aes existente.

Para versões do app-service-configurable anteriores à 2.1.0, atualize para a versão 2.1.0 e modifique os scripts do usuário para usar a nova transformação aes256 no lugar da transformação aes existente.

Como solução alternativa temporária, considere alterar o pipeline de processamento para usar um endpoint HTTPS (TLS 1.3) para exportar e ignorar a criptografia.