漏洞标题
N/A
漏洞描述信息
在Lightbend Akka 2.8.1之前,async-dns resolver(由发现在DNS模式中使用,并 transitively 由集群 Bootstrap 使用的)在解决DNS记录时使用可预测的DNS交易ID,因此 DNS 解决受攻击者篡改的风险很高。如果正在执行发现的应用未验证(例如,通过 TLS)发现服务的真实性,这可能会导致应用程序数据泄露(例如,持久化事件可能会被 unintended Kafka broker 发布)。如果进行了这样的验证,那么篡改构成对目标服务的拒绝服务。这将影响 Akka 2.5.14 到 2.8.0 和 Akka Discovery 到 2.8.0。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
In Lightbend Akka before 2.8.1, the async-dns resolver (used by Discovery in DNS mode and transitively by Cluster Bootstrap) uses predictable DNS transaction IDs when resolving DNS records, making DNS resolution subject to poisoning by an attacker. If the application performing discovery does not validate (e.g., via TLS) the authenticity of the discovered service, this may result in exfiltration of application data (e.g., persistence events may be published to an unintended Kafka broker). If such validation is performed, then the poisoning constitutes a denial of access to the intended service. This affects Akka 2.5.14 through 2.8.0, and Akka Discovery through 2.8.0.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Lightbeed Akka Akka-http 安全漏洞
漏洞描述信息
Lightbeed Akka Akka-http是中国Lightbeed社区的一个工具包。提供提供和使用基于HTTP的服务的更通用的工具包。 Lightbeed Akka Akka-http 2.8.1之前版本存在安全漏洞。攻击者利用该漏洞导致应用程序数据泄露。
CVSS信息
N/A
漏洞类别
其他