客户由于证书验证不当而易受伤害
Apache Pulsar中新发现的漏洞使远程攻击者能够由于证书验证不当而进行中间操纵器(MITM)攻击。
Apache Pulsar是一种分布式的开源解决方案,用于服务器到服务器消息传递和基于发布者 - 订阅模式的排队。
它被数千家公司用于高性能数据管道,微服务,即时消息传递,数据集成等等,每天管理数千亿个事件。
但是,由Cloud Database-As-As-A-Service Firm DataStax发现的Pulsar Java客户端的TLS主机名验证过程延迟了PULSAR JAVA客户端和Pulsar代理,使每个客户端易受攻击MITM中间攻击。
该漏洞并非特定于PULSAR协议,而是由于TLS主机名验证中的基本弱点而存在,这意味着该协议无法强制执行主机名验证。
Pulsar Java客户端作为客户的一部分发送其客户端证书验证步骤,而Pulsar代理将其服务器证书作为身份验证步骤的一部分发送。
但是,在验证服务器的TLS证书与主机名匹配之前,请发送身份验证数据,这意味着身份验证数据可以暴露于攻击者。
攻击方法
为了利用这种漏洞,攻击者需要控制客户端和服务器之间的机器。然后,他们必须通过为客户提供无关主机的密码有效证书来积极操纵流量来执行攻击。
而且,由于客户端在执行主机名验证之前发送身份验证数据,因此攻击者有可能访问客户端的身份验证数据。
当客户端验证主机名并确定目标主机名与证书上的主机名不匹配时,客户端最终关闭了连接。
这意味着,截获的身份验证数据的价值将取决于客户使用的身份验证方法,并具有基于令牌的用户名/密码方法,因为身份验证数据可用于在单独的会话中模拟客户端。
这脆弱性,额定的中等严重程度会影响Apache Pulsar Java客户端版本2.7.0至2.7.4;2.8.0至2.8.3;2.9.0至2.9.2;2.10.0;以及2.6.4及以后。
建议用户升级到不受影响的版本 - 2.7.5、2.8.4、2.9.3、2.10.1或更高版本,并旋转易受攻击的身份验证数据,包括令牌和密码。
DataStax表示,它已警告客户的缺陷。一位发言人说:“ PULSAR安全问题已经解决了DataStax Luna流媒体产品的解决方案,并将很快对Astra流媒体服务进行更新。”
