报告安全问题
Apache Beam 使用由 Apache 安全团队 概述的标准流程来报告漏洞。请注意,在项目做出响应之前,不应公开披露漏洞。
要报告可能的安全漏洞,请发送电子邮件至 [email protected] 和 [email protected]。这是一个非公开列表,将传达给 Beam PMC。
已知安全问题
CVE-2020-1929
[CVE-2020-1929] Apache Beam MongoDB IO 连接器禁用证书信任验证
严重性:主要 供应商:Apache 软件基金会
受影响版本:Apache Beam 2.10.0 到 2.16.0
描述:版本 2.10.0 到 2.16.0 中的 Apache Beam MongoDB 连接器有一个选项可以禁用 SSL 信任验证。但是,此配置不受尊重,证书验证在所有情况下都会禁用信任验证。此排除项还将在全局范围内注册,从而禁用在同一 JVM 中运行的任何代码的信任检查。
缓解措施:受影响版本的使用者应应用以下缓解措施之一
- 升级到 Apache Beam 2.17.0 或更高版本
致谢:Colm Ó hÉigeartaigh 报告(并修复)了此问题。
最后更新时间:2024/10/31
您找到了您要找的一切吗?
所有内容都有用且清晰吗?您想更改任何内容吗?请告诉我们!