Vulnerabilità: CVE-2020-13955

HttpUtils # getURLConnection metodo consente di disattivare in modo esplicito hostname di verifica per le connessioni HTTPS che fanno i clienti vulnerabili ad attacchi di tipo man-in-the-middle. Calcite utilizza internamente questo metodo per connettersi con Druid e Splunk così perdite di informazioni può accadere quando si utilizzano i rispettivi adattatori calcite. Il metodo è in una classe di utilità così le persone possono utilizzare per creare le connessioni HTTPS vulnerabili per altre applicazioni. Da Apache Calcite 1.26 in poi, la verifica hostname viene eseguita utilizzando il truststore JVM predefinita.


https://lists.apache.org/thread.html/r0b0fbe2038388175951ce1028182d980f9e9a7328be13d52dab70bb3%40%3Cdev.calcite.apache.org%3E
https://lists.apache.org/thread.html/r0b0fbe2038388175951ce1028182d980f9e9a7328be13d52dab70bb3%40%3Cdev.calcite.apache.org%3E
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13955


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi