CVE-2022-33684

Cliente Apache Pulsar C++, versões 2.7.0 a 2.7.4

Cliente Apache Pulsar C++, versões 2.8.0 a 2.8.3

Cliente Apache Pulsar C++ versões 2.9.0 a 2.9.2

Cliente Apache Pulsar C++ versões 2.10.0 a 2.10.1

Cliente Apache Pulsar C++ versão 2.6.4 e anteriores

Cliente Apache Pulsar Python versões 2.7.0 a 2.7.4

Cliente Apache Pulsar Python versões 2.8.0 a 2.8.3

Cliente Apache Pulsar Python versões 2.9.0 a 2.9.2

Cliente Apache Pulsar Python versões 2.10.0 a 2.10.1

Cliente Apache Pulsar Python versão 2.6.4 e anteriores

O Cliente Apache Pulsar C++ e o Cliente Apache Pulsar Python não verificam certificados TLS de pares ao realizar chamadas HTTPS para o Fluxo de Credenciais do Cliente OAuth 2.0, mesmo quando tlsAllowInsecureConnection está desativado por meio da configuração. Isso permite que um invasor execute um ataque man-in-the-middle e intercepte e/ou modifique a solicitação GET enviada para a “URL do emissor” do ClientCredentialFlow. As credenciais interceptadas podem ser usadas para obter dados de autenticação do servidor OAuth 2.0 e, em seguida, autenticar-se em um cluster do Apache Pulsar. Um invasor deve assumir o controle de uma máquina “entre” o cliente e o servidor e manipular ativamente o tráfego para realizar o ataque.

2.7 Os usuários do cliente C++ e Python devem atualizar para a versão 2.7.5 e alternar as credenciais OAuth 2.0 vulneráveis, incluindo client id e client secret.

2.8 Os usuários do cliente C++ e Python devem atualizar para a versão 2.8