セキュリティ問題の報告

Apache Beamは、脆弱性の報告についてApacheセキュリティチームが概説する標準プロセスを使用しています。プロジェクトが対応するまで、脆弱性を公表しないでください。

セキュリティ上の脆弱性の可能性を報告するには、security@apache.orgpmc@beam.apache.orgにメールを送信してください。これは、Beam PMCに届く非公開リストです。

既知のセキュリティ問題

CVE-2020-1929

[CVE-2020-1929] Apache Beam MongoDB IOコネクタは証明書の信頼検証を無効にします

重大度: 重大 ベンダー: The Apache Software Foundation

影響を受けるバージョン: Apache Beam 2.10.0から2.16.0

説明: バージョン2.10.0から2.16.0のApache Beam MongoDBコネクタには、SSL信頼検証を無効にするオプションがあります。ただし、この構成は尊重されず、証明書の検証はすべての場合において信頼検証を無効にします。この除外はグローバルにも登録され、同じJVMで実行されているコードの信頼チェックを無効にします。

緩和策: 影響を受けるバージョンのユーザーは、次のいずれかの緩和策を適用する必要があります

謝辞: この問題はColm Ó hÉigeartaighによって報告(および修正)されました。