回報安全性問題
Apache Beam 採用 Apache 安全團隊 概述的標準流程來回報漏洞。請注意,在專案回應之前,不應公開揭露漏洞。
若要回報可能的安全性漏洞,請寄送電子郵件至 security@apache.org 和 pmc@beam.apache.org。這是一個非公開的列表,將會傳達給 Beam PMC。
已知安全性問題
CVE-2020-1929
[CVE-2020-1929] Apache Beam MongoDB IO 連接器停用憑證信任驗證
嚴重性:重大 供應商:The Apache Software Foundation
受影響的版本:Apache Beam 2.10.0 至 2.16.0
說明:在 2.10.0 至 2.16.0 版本的 Apache Beam MongoDB 連接器中,有一個選項可以停用 SSL 信任驗證。然而,此組態並未被採用,且在所有情況下憑證驗證都會停用信任驗證。此排除也會在全域註冊,這會停用在同一個 JVM 中執行的任何程式碼的信任檢查。
緩解措施:受影響版本的用戶應套用下列其中一項緩解措施
- 升級至 Apache Beam 2.17.0 或更高版本
致謝:此問題由 Colm Ó hÉigeartaigh 回報(並已修復)。
上次更新日期:2024/10/31
您是否已找到您正在尋找的所有內容?
所有內容都有用且清楚嗎?您有任何想要變更的地方嗎?請告訴我們!