Vulnerabilidad en Kerberos de Apache Druid (CVE-2025-59390)

El autenticador Kerberos de Apache Druid utiliza un secreto de respaldo débil cuando la configuración `druid.auth.authenticator.kerberos.cookieSignatureSecret` no se establece explícitamente. En este caso, el secreto se genera utilizando `ThreadLocalRandom`, que no es un generador de números aleatorios criptográficamente seguro. Esto puede permitir a un atacante predecir o forzar por fuerza bruta el secreto utilizado para firmar las cookies de autenticación, lo que podría permitir la falsificación de tokens o eludir la autenticación. Además, cada proceso genera su propio secreto de respaldo, lo que da lugar a secretos inconsistentes entre los nodos. Esto provoca fallos de autenticación en implementaciones distribuidas o con múltiples brokers, lo que conduce efectivamente a clústeres configurados incorrectamente. Se recomienda a los usuarios que configuren un `druid.auth.authenticator.kerberos.cookieSignatureSecret` fuerte. Este problema afecta a Apache Druid: hasta la versión 34.0.0. Se recomienda a los usuarios que actualicen a la versión 35.0.0, que corrige el problema y hace obligatorio establecer `druid.auth.authenticator.kerberos.cookieSignatureSecret` cuando se utiliza el autenticador Kerberos. Los servicios no se iniciarán si no se establece el secreto.