发布日期：2022-11-04
更新日期：2023-04-06

受影响系统：

Apache Apache Pulsar C++ Client

描述：

---

CVE(CAN) ID: CVE-2022-33684

Apache Pulsar是美国阿帕奇（Apache）基金会的一个用于云环境种，集消息、存储、轻量化函数式计算为一体的分布式消息流平台,该软件支持多租户、持久化存储、多机房跨区域数据复制，具有强一致性、高吞吐以及低延时的高可扩展流数据存储特性。
Apache Pulsar C++ Client存在证书验证错误漏洞，该漏洞源于对OAuth2.0客户端凭据流进行HTTPS调用时不会验证对等TLS证书，攻击可利用此漏洞执行中间人攻击并拦截和/或修改发送的GET请求，截获的凭据可用于从OAuth2.0服务器获取身份验证数据，然后使用Apache Pulsar集群进行身份验证。

<*来源：Michael Marshal
  
  链接：https://lists.apache.org/thread/ky1ssskvkj00y36k7nys9b5gm5jjrzwv
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（CVE-2022-33684）以及相应补丁:
CVE-2022-33684：Severity: high
链接：https://lists.apache.org/thread/ky1ssskvkj00y36k7nys9b5gm5jjrzwv

浏览次数：365
严重程度：0（网友投票）