一、背景介绍
近日,市委网信办技术支撑单位监测到Apache Pulsar发布了安全通告,修复了一个安全漏洞。漏洞编号为CVE-2022-33684。
1.1 漏洞描述
Apache Pulsar C++客户端在为OAuth2.0客户端凭证流程进行 HTTPS 调用时,即使通过配置禁用tlsAllowInsecureConnection,也不会验证对方的TLS证书。这个漏洞允许攻击者进行中间人攻击,拦截和/或修改发送到ClientCredentialFlow“发行者网址”的GET请求。被拦截的凭证可用于从Auth2.0 服务器获取认证数据,然后用Apache Pulsar集群进行认证。攻击者只能通过控制客户端和服务器之间的一台机器来利用这个漏洞,然后主动操纵流量来进行攻击。
1.2 漏洞编号
CVE-2022-33684
二、修复建议
2.1 受影响版本
Apache Pulsar C++客户端和Python客户端
2.7.0至2.7.4;
2.8.0至2.8.3;
2.9.0至2.9.2;
2.10.0至2.10.1;
2.6.4和更早版本
2.2 修复建议
目前官方已正式发布修复版本,建议受影响用户尽快升级至安全版本。
可从地址中下载升级:
https://pulsar.apache.org/download