CVE-2024-23953

Nome do Software Vulnerável e Versões Afetadas: Versões do Apache Hive anteriores a 4.0.0

Descrição: O problema surge devido ao uso de Arrays.equals() em LlapSignerImpl para comparar assinaturas de mensagem, permitindo que um atacante forje uma assinatura válida para uma mensagem arbitrária byte a byte. Isso pode ocorrer quando uma aplicação não utiliza um algoritmo de tempo constante para validar uma assinatura. O método Arrays.equals() retorna falso assim que encontra bytes diferentes na entrada, tornando o tempo de comparação dependente do conteúdo do array. Isso poderia permitir que usuários maliciosos enviem splits ou trabalhem com assinaturas selecionadas para o LLAP sem executar como um usuário privilegiado, potencialmente levando a um ataque DDoS. O atacante deve ser um usuário autorizado do produto para realizar este ataque.

Recomendações: Versões do Apache Hive anteriores a 4.0.0: Atualize para a versão 4.0.0, que corrige este problema.