Vulnerabilidad en el nombre de host TLS en el cliente Java Pulsar y Pulsar Proxy (CVE-2022-33681)

El retraso en la verificación del nombre de host TLS en el cliente Java Pulsar y Pulsar Proxy hace que cada cliente sea vulnerable a un ataque de hombre en el medio. Las conexiones del Cliente Java Pulsar al Broker/Proxy Pulsar y las conexiones del Proxy Pulsar al Broker Pulsar son vulnerables. Los datos de autenticación son enviados antes de verificar que el certificado TLS del servidor coincide con el nombre del host, lo que significa que los datos de autenticación podrían estar expuestos a un atacante. Un atacante sólo puede aprovecharse de esta vulnerabilidad al tomar el control de una máquina "entre" el cliente y el servidor. El atacante debe entonces manipular activamente el tráfico para llevar a cabo el ataque al proporcionar al cliente un certificado criptográficamente válido para un host no relacionado. Como el cliente envía datos de autenticación antes de llevar a cabo la verificación del nombre del host, un atacante podría acceder a los datos de autenticación del cliente. El cliente acaba cerrando la conexión cuando verifica el nombre de host e identifica que el nombre de host objetivo no coincide con un nombre de host en el certificado. Como el cliente acaba cerrando la conexión, el valor de los datos de autenticación interceptados depende del método de autenticación usado por el cliente. Los métodos de autenticación basados en tokens y de nombre de usuario/contraseña son vulnerables porque los datos de autenticación pueden usarse para suplantar al cliente en una sesión independiente. Este problema afecta a Apache Pulsar Java Client versiones 2.7.0 a 2.7.4; 2.8.0 a 2.8.3; 2.9.0 a 2.9.2; 2.10.0; 2.6.4 y anteriores.