PT-2022-21798 · Apache · Apache Pulsar Broker+2
Michael Marshall
·
Publicado
2022-09-23
·
Atualizado
2022-09-27
·
CVE-2022-33682
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Apache Pulsar Broker, Proxy e WebSocket Proxy, versões 2.6.4 e anteriores
Apache Pulsar Broker, Proxy e WebSocket Proxy, versões 2.7.0 a 2.7.4
Apache Pulsar Broker, Proxy e WebSocket Proxy versões 2.8.0 a 2.8.3
Apache Pulsar Broker, Proxy e WebSocket Proxy versões 2.9.0 a 2.9.2
Apache Pulsar Broker, Proxy e WebSocket Proxy versão 2.10.0
Descrição
A verificação de nome de host TLS não pode ser habilitada no Cliente Java do Pulsar Broker, no Cliente de Administração Java do Pulsar Broker, no Cliente Java do Pulsar WebSocket Proxy e no Cliente de Administração do Pulsar Proxy, deixando as conexões intra-cluster e as conexões de replicação geográfica vulneráveis a ataques man-in-the-middle. Isso pode resultar no vazamento de credenciais, dados de configuração, dados de mensagens e quaisquer outros dados enviados por esses clientes. A vulnerabilidade afeta tanto o protocolo pulsar+ssl quanto o HTTPS. Um invasor precisa assumir o controle de uma máquina entre o cliente e o servidor e manipular ativamente o tráfego para realizar o ataque, fornecendo ao cliente um certificado criptograficamente válido para um host não relacionado.
Recomendações
Para as versões 2.6.4 e anteriores do Apache Pulsar Broker, Proxy e WebSocket Proxy, atualize para uma versão que inclua a correção para este problema.
Para as versões 2.7.0 a 2.7.4 do Apache Pulsar Broker, Proxy e WebSocket Proxy, atualize para uma versão que inclua a correção para este problema.
Para o Apache Pulsar Broker, Proxy e WebSocket Proxy
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Pulsar Broker
Apache Pulsar Proxy
Apache Pulsar Websocket Proxy