Sicherheitslücke in IoT Plattform Apache StreamPipes entdeckt
Ende Juni 2024 wurde eine kritische Sicherheitslücke in der IoT-Plattform Apache StreamPipes bekannt gegeben. Die Schwachstelle CVE-2024-29868 betrifft die Generierung von Wiederherstellungs-Token im Rahmen der Benutzer-Selbstregistrierung und des Passwort-Wiederherstellungsmechanismus. Diese Schwachstelle beruht auf der Verwendung eines kryptografisch schwachen Pseudozufallszahlengenerators (PRNG).
CVSS v3 Basiswert: 9.1
CVSS-Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Durch die Verwendung dieses schwachen PRNGs ist es Angreifern möglich, das Wiederherstellungs-Token in einer angemessenen Zeitspanne zu erraten. Dies kann dazu führen, dass ein Angreifer die Kontrolle über das angegriffene Benutzerkonto übernehmen kann. Die Schwachstelle betrifft alle Versionen von Apache StreamPipes von 0.69.0 bis 0.93.0.
Benutzern wird dringend empfohlen, auf die Version 0.95.0 zu aktualisieren, die diese Sicherheitslücke behebt.