Vulnerabilidad en Apache Pulsar C++ (CVE-2022-33684)

El cliente Apache Pulsar C++ no verifica los certificados TLS de los peers al realizar llamadas HTTPS para el flujo de credenciales del cliente OAuth2.0, incluso cuando tlsAllowInsecureConnection está deshabilitado mediante la configuración. Esta vulnerabilidad permite a un atacante realizar un ataque intermediario e interceptar y/o modificar la solicitud GET que se envía a la 'URL del emisor' de ClientCredentialFlow. Las credenciales interceptadas se pueden utilizar para adquirir datos de autenticación del servidor OAuth2.0 para luego autenticarse con un clúster Apache Pulsar. Un atacante sólo puede aprovechar esta vulnerabilidad tomando el control de una máquina "entre" el cliente y el servidor. Luego, el atacante debe manipular activamente el tráfico para realizar el ataque. El cliente Apache Pulsar Python envuelve el cliente C++, por lo que también es vulnerable de la misma manera. Este problema afecta a las versiones 2.7.0 a 2.7.4 del cliente Apache Pulsar C++ y del cliente Python; 2.8.0 a 2.8.3; 2.9.0 a 2.9.2; 2.10.0 a 2.10.1; 2.6.4 y anteriores. Cualquier usuario que ejecute versiones afectadas del Cliente C++ o del Cliente Python debe rotar las credenciales OAuth2.0 vulnerables, incluidas client_id y client_secret. Los usuarios de 2.7 C++ y Python Client deben actualizar a 2.7.5 y rotar las credenciales vulnerables de OAuth2.0. Los usuarios de 2.8 C++ y Python Client deben actualizar a 2.8.4 y rotar las credenciales vulnerables de OAuth2.0. Los usuarios de 2.9 C++ y Python Client deben actualizar a 2.9.3 y rotar las credenciales vulnerables de OAuth2.0. Los usuarios de 2.10 C++ y Python Client deben actualizar a 2.10.2 y rotar las credenciales vulnerables de OAuth2.0. Los usuarios de 3.0 C++ no se ven afectados y los usuarios de 3.0 Python Client no se verán afectados cuando se lance. Cualquier usuario que ejecute C++ y Python Client para 2.6 o menos debe actualizar a una de las versiones parcheadas anteriores.