PT-2024-31590 · Apache · Apache Druid
Mr-N30
·
Publicado
2024-09-17
·
Atualizado
2024-10-02
·
CVE-2024-45384
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Druid de 0.18.0 a 30.0.0
Descrição
O problema é uma vulnerabilidade do tipo Padding Oracle na extensão do Apache Druid, druid-pac4j, que poderia permitir que um invasor manipulasse um cookie de sessão pac4j. Como a extensão druid-pac4j é opcional e desativada por padrão, as instalações do Druid que não utilizam a extensão druid-pac4j não são afetadas por este problema. Embora não haja nenhuma maneira conhecida de explorar essa falha de forma significativa, recomenda-se tomar precauções.
Recomendações
Para as versões 0.18.0 a 30.0.0 do Apache Druid, atualize para a versão 30.0.1 ou superior para corrigir o problema.
Certifique-se de definir uma senha forte para
druid.auth.pac4j.cookiePassphrase como precaução.Correção
Generation of Error Message Containing Sensitive Information
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Druid