您好！

永信至诚报送1个漏洞预警Apache Pulsar C++/Python 客户端存在MITM漏洞- CVE-2022-33684（无关联漏洞编号）。

1、产品描述：Apache Pulsar 是 Apache 软件基金会顶级项目，是下一代云原生分布式消息流平台，集消息、存储、轻量化函数式计算为一体，采用计算与存储分离架构设计，支持多租户、持久化存储、多机房跨区域数据复制，具有强一致性、高吞吐、低延时及高可扩展性等流数据存储特性，被看作是云原生时代实时消息流传输、存储和计算最佳解决方案

2、影响产品或组件及版本

org.apache.pulsar:pulsar-client@[2.9.0, 2.9.3)

org.apache.pulsar:pulsar-client@[2.10.0, 2.10.2)

org.apache.pulsar:pulsar-client@(-∞, 2.7.5)

org.apache.pulsar:pulsar-client@[2.8.0, 2.8.4)

3、受影响资产情况：通过资产测绘系统fofa发现，第一名美国，第二名中国，第三名中国香港特别行政区。

4、危害等级：中危

5、技术细节表述：“tlsAllowInsecureConnection”在配置中被禁用，Apache Pulsar 也不会验证对 OAuth2.0 客户端凭据流进行 HTTPS 调用时的 TLS 证书，从而导致远程攻击者利用此漏洞通过控制位于客户端和服务器之间的机器拦截或修改发送到 ClientCredentialFlow‘issuer url’的 GET 请求，截获的凭据可用于从 OAuth2.0 服务器获取身份验证数据，进而使用 Apache Pulsar 集群进行身份验证。

攻击者只能通过控制客户端和服务器之间的一台机器来利用这个漏洞。然后，攻击者必须主动操纵流量来进行攻击。Apache Pulsar Python客户端包装了C++客户端，所以它也有同样的漏洞。

6、修补措施：升级org.apache.pulsar:pulsar-client到 2.7.5 或 2.8.4 或 2.9.3 或 2.10.2 或更高版本

补丁链接：https://github.com/apache/pulsar

7、漏洞来源：https://nvd.nist.gov/vuln/detail/CVE-2022-33684