Идентификатор: BDU:2022-07288.
Наименование уязвимости: Уязвимость компонентов Pulsar C++ Client и Pulsar Python Client облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar, позволяющая нарушителю реализовать атаку типа «человек посередине».
Описание уязвимости: Уязвимость компонентов Pulsar C++ Client и Pulsar Python Client облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar связана с ошибками процедуры подтверждения подлинности сертификата при аутентификации TLS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку типа «человек посередине» путем отправки специально созданных запросов GET
Уязвимое ПО: Прикладное ПО информационных систем Apache Software Foundation Apache Pulsar до 2.6.4 включительно | Прикладное ПО информационных систем Apache Software Foundation Apache Pulsar от 2.7.0 до 2.7.5 | Прикладное ПО информационных систем Apache Software Foundation Apache Pulsar от 2.8.0 до 2.8.4 | Прикладное ПО информационных систем Apache Software Foundation Apache Pulsar от 2.9.0 до 2.9.3 | Прикладное ПО информационных систем Apache Software Foundation Apache Pulsar от 2.10.0 до 2.10.2 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 04.11.2022.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)
Возможные меры по устранению:
Использование рекомендаций:
https://lists.apache.org/thread/ky1ssskvkj00y36k7nys9b5gm5jjrzwv.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-33684.
Прочая информация: Все пользователи должны обновить программное обеспечение и заменить уязвимые учетные данные OAuth2.0, включая client_id и client_secret.
Тип ошибки CWE: CWE-295
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://lists.apache.org/thread/ky1ssskvkj00y36k7nys9b5gm5jjrzwv
https://nvd.nist.gov/vuln/detail/CVE-2022-33684
https://github.com/apache/pulsar/pull/16064
https://pulsar.apache.org/download/
