【漏洞预警】Apache NiFi MiNiFi C++证书验证不当漏洞威胁通告 admin 0 文章 0 评论 2024-01-11 14:04:50 安全脉搏 来源:ZONE.CI 全球网 0 阅读模式 1. 通告信息 近日,安识科技A-Team团队监测到Apache NiFi MiNiFi C++中修复了一个证书验证不当漏洞(CVE-2023-41180)。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。 2. 漏洞概述 漏洞名称:Apache NiFi MiNiFi C++证书验证不当漏洞 CVE编号:CVE-2023-41180 简述:MiNiFi 是 Apache NiFi 的子项目。Apache NiFi MiNiFi C++ 是一种补充性数据收集方法,补充了NiFi在数据流管理方面的核心原则,重点关注数据创建源头的收集。 Apache NiFi MiNiFi C++ 版本 0.13 - 0.14的 InvokeHTTP 中存在证书验证不当,由于InvokeHTTP的Disable Peer Verification(禁用对等验证)属性被有效翻转,在使用HTTPS时默认禁用验证。可能导致中间人在TLS握手协商期间提供伪造的证书。 3. 漏洞危害 Apache NiFi MiNiFi C++ 版本 0.13 - 0.14的 InvokeHTTP 中存在证书验证不当,由于InvokeHTTP的Disable Peer Verification(禁用对等验证)属性被有效翻转,在使用HTTPS时默认禁用验证。可能导致中间人在TLS握手协商期间提供伪造的证书。 4. 影响版本 受影响的Apache NiFi MiNiFi C++版本: Apache NiFi MiNiFi C++版本:0.13.0 - 0.14.0 5. 解决方案 目前该漏洞已经修复,受影响用户可升级到以下版本: Apache NiFi MiNiFi C++ 版本:0.15.0 下载链接: https://github.com/apache/nifi-minifi-cpp/tags 临时措施: 当使用MiNiFi C++版本0.13.0或0.14.0时,将InvokeHTTP的Disable Peer Verification(禁用对等验证)属性设置为true。 6. 时间轴 【-】2023年09月03日 安识科技A-Team团队监测到漏洞公布信息 【-】2023年09月04日 安识科技A-Team团队根据漏洞信息分析 【-】2023年09月05日 安识科技A-Team团队发布安全通告 登录收藏 http://security.zone.ci//secnews/secpulse/308288.html 复制链接 复制链接 版权声明 本站原创文章转载请注明文章出处及链接,谢谢合作! ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带 ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
安全脉搏 Apache Commons Compress内存耗尽漏洞 CVE-2021-35516 0x01 概述Apache Commons Compress是一个开源的Java组件,用于处理各种压缩和归档格式,如ZIP、Tar、7z、gzip、bzip2等 01-110 评论
安全脉搏 静态源代码安全扫描工具测评结果-SonarQube 测评背景随着数字技术的进步,网络安全行业日益发展,企业对于DevSecOps的应用和落地的需求日益增加,静态源代码安全扫描工具已成为其中的关键产品或工具。 20 01-110 评论
评论