Vulnerabilidad en Apache Pulsar SASL Authentication Provider (CVE-2023-51437)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/02/2024
Última modificación:
22/07/2024
Descripción
Una vulnerabilidad de discrepancia de tiempo observable en Apache Pulsar SASL Authentication Provider puede permitir a un atacante falsificar un token de función SASL que pasará la verificación de firma. Se recomienda a los usuarios actualizar a la versión 2.11.3, 3.0.2 o 3.1.1, que soluciona el problema. Los usuarios también deberían considerar actualizar el secreto configurado en el archivo `saslJaasServerRoleTokenSignerSecretPath`. Cualquier componente que coincida con una versión anterior que ejecute el proveedor de autenticación SASL se verá afectado. Eso incluye Pulsar Broker, Proxy, Websocket Proxy o Function Worker. 2.11 Los usuarios de Pulsar deben actualizar al menos a 2.11.3. Los usuarios de Pulsar 3.0 deben actualizar al menos a 3.0.2. 3.1 Los usuarios de Pulsar deben actualizar al menos a 3.1.1. Cualquier usuario que ejecute Pulsar 2.8, 2.9, 2.10 y versiones anteriores debe actualizar a una de las versiones parcheadas anteriores. Para obtener detalles adicionales sobre este vector de ataque, consulte https://codahale.com/a-lesson-in-timing-attacks/.
Impacto
Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:pulsar:*:*:*:*:*:*:*:* | 2.10.5 (incluyendo) | |
| cpe:2.3:a:apache:pulsar:*:*:*:*:*:*:*:* | 2.11.0 (incluyendo) | 2.11.3 (excluyendo) |
| cpe:2.3:a:apache:pulsar:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.0.2 (excluyendo) |
| cpe:2.3:a:apache:pulsar:3.1.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:pulsar:3.1.0:candidate_1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página