PT-2024-31436 · Apache · Apache Ozone
Ethan Rose
+1
·
Publicado
2024-12-02
·
Atualizado
2025-07-01
·
CVE-2024-45106
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Apache Ozone versão 1.4.0
Descrição
O problema está relacionado à autenticação incorreta de um ponto de extremidade HTTP no S3 Gateway do Apache Ozone. Isso permite que qualquer usuário Kerberos autenticado revogue e gere novamente os segredos S3 de qualquer outro usuário, mas somente se determinadas condições forem atendidas:
ozone.s3g.secret. http.enabled estiver definido como true e o usuário configurado em ozone.s3g.kerberos.principal também estiver configurado em ozone.s3.administrators ou ozone.administrators.Recomendações
Atualize para a versão 1.4.1 do Apache Ozone, que desativa o endpoint afetado. Como solução alternativa temporária, considere definir
ozone.s3g.secret.http.enabled como false para impedir a exploração. Restrinja o acesso ao S3 Gateway para minimizar o risco de regeneração não autorizada de segredos S3.Correção
Incorrect Authorization
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Ozone