CVE-2022-36111

Versões do immudb anteriores à 1.4.1

O immudb é um banco de dados com provas e verificações criptográficas integradas. Um servidor immudb malicioso pode fornecer uma prova falsificada que será aceita pelo SDK do cliente, assinando uma transação falsificada e substituindo a genuína. Essa situação não pode ser desencadeada por um servidor immudb genuíno e requer que o cliente execute uma lista específica de operações verificadas, resultando na aceitação de um valor de estado inválido. A vulnerabilidade afeta apenas os SDKs do cliente immudb, e o próprio servidor immudb não é afetado.

Para versões anteriores à 1.4.1, atualize para a versão 1.4.1 para resolver o problema. Como solução alternativa temporária, considere executar um servidor réplica immudb genuíno em um ambiente seguro e sincronizar totalmente todos os bancos de dados com o primário para garantir que o servidor não produza provas inválidas e para verificar se o histórico apresentado pelo servidor não contém transações falsificadas.