| 漏洞类型 | 授权检查错误 | 发现时间 | 2024-03-13 | 漏洞等级 | 中危 |
| MPS编号 | MPS-2zt9-up36 | CVE编号 | CVE-2024-28098 | 漏洞影响广度 | 一般 |
漏洞危害
| OSCS 描述 |
| Apache Pulsar 是开源的分布式发布-订阅消息传递系统,主题级策略管理模块允许高权限用户(如租户管理员或超级用户角色)对主题应用特定的配置和策略。 受影响版本中存在身份验证不当漏洞,导致具有生产或消费权限的用户可通过Pulsar管理工具pulsar-admin、REST API或者Java代码修改主题级策略(例如消息保留策略、TTL 和卸载设置),进而窃取服务端敏感信息或导致服务中断。 参考链接:https://www.oscs1024.com/hd/MPS-2zt9-up36 |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| org.apache.pulsar:pulsar-broker [3.0.0, 3.0.3) | 升级 | 将 org.apache.pulsar:pulsar-broker 升级至 3.0.3 及以上版本 |
| org.apache.pulsar:pulsar-broker [3.2.0, 3.2.1) | 升级 | 将 org.apache.pulsar:pulsar-broker 升级至 3.2.1 及以上版本 |
| pulsar [2.10.0, 2.10.6) | 升级 | 将组件 pulsar 升级至 2.10.6 及以上版本 |
| pulsar [2.11.0, 2.11.4) | 升级 | 将组件 pulsar 升级至 2.11.4 及以上版本 |
| pulsar [3.0.0, 3.0.3) | 升级 | 将组件 pulsar 升级至 3.0.3 及以上版本 |
| pulsar [3.1.0, 3.1.3) | 升级 | 将组件 pulsar 升级至 3.1.3 及以上版本 |
| pulsar [3.2.0, 3.2.1) | 升级 | 将组件 pulsar 升级至 3.2.1 及以上版本 |
| org.apache.pulsar:pulsar-broker [2.10.0, 2.10.6) | 升级 | 将 org.apache.pulsar:pulsar-broker 升级至 2.10.6 及以上版本 |
| org.apache.pulsar:pulsar-broker [2.11.0, 2.11.4) | 升级 | 将 org.apache.pulsar:pulsar-broker 升级至 2.11.4 及以上版本 |
| org.apache.pulsar:pulsar-broker [3.1.0, 3.1.3) | 升级 | 将 org.apache.pulsar:pulsar-broker 升级至 3.1.3 及以上版本 |
| 参考链接:https://www.oscs1024.com/hd/MPS-2zt9-up36 | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-2zt9-up36
https://nvd.nist.gov/vuln/detail/CVE-2024-28098
https://pulsar.apache.org/security/CVE-2024-28098/
https://github.com/apache/pulsar/commit/5198554230a098246b8d78ef77ccf898aa54f86d
