发布日期：2024-02-06
更新日期：2024-06-28

受影响系统：

Apache Apache Pulsar < 3.1.1
Apache Apache Pulsar < 3.0.2
Apache Apache Pulsar < 2.11.3

描述：

---

CVE(CAN) ID: CVE-2023-51437

Apache Pulsar是美国阿帕奇（Apache）基金会的一个用于云环境种，集消息、存储、轻量化函数式计算为一体的分布式消息流平台，该软件支持多租户、持久化存储、多机房跨区域数据复制，具有强一致性、高吞吐以及低延时的高可扩展流数据存储特性。
Apache Pulsar 2.11.3之前版本、3.0.2之前版本、3.1.1之前版本存在可观察时间差异漏洞，攻击者可以利用身份验证程序中可观察到的时间差异伪造签名验证的SASL角色令牌。

<*链接：https://lists.apache.org/thread/5kgmvvolf5tzp5rz9xjwfg2ncwvqqgl5
*>

建议：

---

厂商补丁：

Apache Group
------------
厂商已发布了漏洞修复程序，请及时关注更新：
https://lists.apache.org/thread/5kgmvvolf5tzp5rz9xjwfg2ncwvqqgl5

浏览次数：468
严重程度：0（网友投票）