Informazioni sul CVE-2024-23953
Apache Hive: Timing Attack Against Signature in LLAP util
CWE ID: CWE-208
Base Score (CVSS): N/A
CVE: CVE-2024-23953
Descrizione: Uso di Arrays.equals() in LlapSignerImpl in Apache Hive permette a un attaccante di falsificare una firma valida per un messaggio arbitrario byte per byte. L’attaccante deve essere un utente autorizzato per eseguire questo attacco. Gli utenti sono raccomandati ad aggiornare alla versione 4.0.0, che risolve questo problema. Il problema si verifica quando un’applicazione non utilizza un algoritmo di tempo costante per validare una firma. La funzione Arrays.equals() restituisce false immediatamente quando vede che uno dei suoi byte è diverso. Ciò significa che il tempo di confronto dipende dal contenuto degli array. Questa piccola cosa potrebbe permettere a un attaccante di falsificare una firma valida per un byte arbitrario. Quindi potrebbe permettere agli utenti malintenzionati di inviare divisioni/lavori con firme selezionate di LLAP senza eseguirle come utente privilegiato, potenzialmente portando a un attacco DDoS. Maggiori dettagli nella sezione di riferimento.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/apache/hive
- https://github.com/apache/hive/commit/b418e3c9f479ba8e7d31e6470306111002ffa809
- https://issues.apache.org/jira/browse/HIVE-28030
- https://blog.gypsyengineer.com/en/security/preventing-timing-attacks-with-codeql.html
- https://cqr.company/web-vulnerabilities/timing-attacks/
- https://lists.apache.org/thread/0nloywj49nbtlc6l3c6363qvq7o1ztb7
Prodotti interessati
- Apache Software Foundation – Apache Hive
Relazioni con altri prodotti
Produttore:Apache Software Foundation
Prodotto: Apache Hive
Anno: 2024
CWE: CWE-208
CVSS: 0.0