PT-2024-3207 · Apache · Apache Pulsar
Chenhao Lu
+2
·
Publicado
2024-02-07
·
Atualizado
2024-07-22
·
CVE-2023-51437
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Pulsar anteriores à 2.11.3
Versões do Apache Pulsar anteriores à 3.0.2
Versões do Apache Pulsar anteriores à 3.1.1
Descrição
O problema está relacionado a uma vulnerabilidade observável de discrepância de tempo no provedor de autenticação SASL do Apache Pulsar, que pode permitir que um invasor falsifique um token de função SASL que passe pela verificação de assinatura. Essa vulnerabilidade pode afetar a confidencialidade e a integridade das informações protegidas.
Recomendações
Para a versão 2.11 do Apache Pulsar, atualize para pelo menos a versão 2.11.3.
Para a versão 3.0 do Apache Pulsar, atualize para pelo menos a versão 3.0.2.
Para o Apache Pulsar versão 3.1, atualize para pelo menos a versão 3.1.1.
Para quaisquer versões anteriores à 2.11.3, 3.0.2 ou 3.1.1, considere atualizar para uma das versões corrigidas acima e atualize o segredo configurado no arquivo
saslJaasServerRoleTokenSignerSecretPath.Correção
Information Disclosure
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Pulsar