CVE-2021-41034

Eclipse Che versão 6

O problema está relacionado ao processo de compilação de algumas pilhas de linguagens no Eclipse Che, que obtém binários de um ponto de extremidade HTTP não seguro, tornando-os vulneráveis a ataques man-in-the-middle (MITM). Isso permite a substituição dos binários originais por outros arbitrários. As pilhas afetadas incluem Java 8 (alpine e centos), Android e PHP. A vulnerabilidade só pode ser explorada durante o processo de compilação, não em tempo de execução.

Para o Eclipse Che versão 6, considere desativar o processo de compilação das pilhas de linguagens afetadas até que um ponto de extremidade HTTP seguro seja implementado. Restrinja o acesso ao ponto de extremidade HTTP não seguro para minimizar o risco de exploração. Evite usar as pilhas afetadas (Java 8, Android e PHP) até que o problema seja resolvido. Como solução alternativa temporária, considere usar pontos de extremidade alternativos e seguros para baixar binários. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.