PT-2022-21797 · Apache · Apache Pulsar Java Client
Michael Marshall
·
Publicado
2022-09-23
·
Atualizado
2022-09-27
·
CVE-2022-33681
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Apache Pulsar Java Client versões 2.6.4 e anteriores
Apache Pulsar Java Client versões 2.7.0 a 2.7.4
Apache Pulsar Java Client versões 2.8.0 a 2.8.3
Apache Pulsar Java Client versões 2.9.0 a 2.9.2
Apache Pulsar Java Client versão 2.10.0
Descrição
A verificação atrasada do nome de host TLS no Pulsar Java Client e no Pulsar Proxy torna cada cliente vulnerável a um ataque man-in-the-middle. As conexões do Pulsar Java Client para o Pulsar Broker/Proxy e as conexões do Pulsar Proxy para o Pulsar Broker estão vulneráveis. Os dados de autenticação são enviados antes da verificação de que o certificado TLS do servidor corresponde ao nome do host, o que significa que os dados de autenticação podem ser expostos a um invasor. Um invasor só pode explorar essa vulnerabilidade assumindo o controle de uma máquina “entre” o cliente e o servidor. O invasor deve então manipular ativamente o tráfego para realizar o ataque, fornecendo ao cliente um certificado criptograficamente válido para um host não relacionado. Como o cliente envia os dados de autenticação antes de realizar a verificação do nome do host, um invasor poderia obter acesso aos dados de autenticação do cliente. Os métodos de autenticação baseados em token e nome de usuário/senha são vulneráveis, pois os dados de autenticação podem ser usados para se passar pelo cliente em uma sessão separada.
Recomendações
Para o Apache Pulsar Java Client versões 2.6.4 e anteriores, atualize para uma versão t
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Pulsar Java Client