CVE-2024-45106丨Apache Ozone：生成 S3 机密时身份验证不当

Apache Ozone：生成 S3 机密时身份验证不当（CVE-2024-45106）
CVE编号

CVE-2024-45106
利用情况

暂无
补丁情况

N/A
披露时间

2024-12-03
漏洞描述
Apache Ozone 1.4.0版本中的S3网关HTTP端点身份验证不当，允许任何经过Kerberos身份验证的用户撤销并重新生成其他用户的S3密钥。这种情况仅会在以下情况下发生：* ozone.s3g.secret.http.enabled设置为true。此配置的默认值为false。* 在ozone.s3g.kerberos.principal中配置的用户也在ozone.s3.administrators或ozone.administrators中配置。建议用户升级到Apache Ozone 1.4.1版本，该版本已禁用受影响端点。
解决建议
建议您更新当前系统或软件至最新版，完成漏洞的修复。
参考链接
http://www.openwall.com/lists/oss-security/2024/12/02/1
https://lists.apache.org/thread/rylnxwttp004kvotpk9j158vb238pfkm