Apache Pulsar:Pulsar 代理统计端点身份验证不正确 (CVE-2022-34321)
CVE编号
CVE-2022-34321利用情况
暂无补丁情况
N/A披露时间
2024-03-13漏洞描述
Apache Pulsar Proxy中的Improper Authentication漏洞允许攻击者在未经身份验证的情况下连接到/proxy-stats端点。受影响的端点公开了有关活动连接的详细统计信息,同时具有修改代理连接日志级别的能力,而无需正确的身份验证凭据。此问题影响Apache Pulsar 2.6.0至2.10.5版本,2.11.0至2.11.2版本,3.0.0至3.0.1版本和3.1.0版本。已知的风险包括暴露诸如连接的客户端IP和未经授权的日志级别操作等敏感信息,可能通过显着增加代理的记录开销而导致拒绝服务情况。在Kubernetes环境中通过Apache Pulsar Helm图表部署时,实际客户端IP可能不会通过默认行为的负载均衡器透露,这通常在外部流量策略被默认配置为“Cluster”时模糊了原始源IP地址。/proxy-stats端点包含主题级统计信息,但在默认配置中,主题级统计信息并不会被公开。2.10 Pulsar Proxy用户应升级至至少2.10.6版本。2.11 Pulsar Proxy用户应升级至至少2.11.3版本。3.0 Pulsar Proxy用户应升级至至少3.0.2版本。3.1 Pulsar Proxy用户应升级至至少3.1.1版本。操作先于上述列出的版本的用户应升级至上述已修补版本或更新版本。此外,必须认识到Apache Pulsar Proxy并不打算直接暴露在互联网上。Pulsar Proxy的架构设计假定它将在受适当的边界防御保护的安全网络环境中运行。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://lists.apache.org/thread/ods5tq2hpl390hvjnvxv0bcg4rfpgjj8 | |
| https://pulsar.apache.org/security/CVE-2022-34321/ |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 低
- 保密性 高
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-306 | 关键功能的认证机制缺失 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论