CVE-2018-8023
https://notcve.org/view.php?id=CVE-2018-8023
Apache Mesos can be configured to require authentication to call the Executor HTTP API using JSON Web Token (JWT). In Apache Mesos versions pre-1.4.2, 1.5.0, 1.5.1, 1.6.0 the comparison of the generated HMAC value against the provided signature in the JWT implementation used is vulnerable to a timing attack because instead of a constant-time string comparison routine a standard `==` operator has been used. A malicious actor can therefore abuse the timing difference of when the JWT validation function returns to reveal the correct HMAC value. Apache Mesos puede configurarse para que requiera autenticación para llamar a la API HTTP Executor utilizando JSON Web Token (JWT). En las versiones de Apache Mesos anteriores a la 1.4.2, 1.5.0, 1.5.1 y 1.6.0, la comparación del valor HMAC generado con la firma proporcionada en la implementación de JWT utilizada es vulnerable a un ataque de sincronización porque, en lugar de una rutina de comparación de cadenas de tiempo constante, se ha utilizado un operador estándar "==". • https://lists.apache.org/thread.html/9b9d3f6bd09f3ebd2284b82077033bdc71da550a1c4c010c2494acc3%40%3Cdev.mesos.apache.org%3E https://lists.apache.org/thread.html/r0dd7ff197b2e3bdd80a0326587ca3d0c22e10d1dba17c769d6da7d7a%40%3Cuser.flink.apache.org%3E • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2018-1330
https://notcve.org/view.php?id=CVE-2018-1330
When parsing a malformed JSON payload, libprocess in Apache Mesos versions 1.4.0 to 1.5.0 might crash due to an uncaught exception. Parsing chunked HTTP requests with trailers can lead to a libprocess crash too because of the mistakenly planted assertion. A malicious actor can therefore cause a denial of service of Mesos masters rendering the Mesos-controlled cluster inoperable. Al analizar una carga útil JSON mal formada, libprocess en Apache Mesos, de la versión 1.4.0 a la 1.5.0 podría cerrarse inesperadamente debido a una excepción no capturada. El análisis de peticiones HTTP fragmentadas con trailers puede conducir a que libprocess también se cierre inesperadamente debido a la aserción colocada erróneamente. • https://lists.apache.org/thread.html/395cb6bcf367702acd1e580a1f39b56cdd7a5953d0368b4c1adb1dde%40%3Cdev.mesos.apache.org%3E • CWE-20: Improper Input Validation •
CVE-2017-7687
https://notcve.org/view.php?id=CVE-2017-7687
When handling a decoding failure for a malformed URL path of an HTTP request, libprocess in Apache Mesos before 1.1.3, 1.2.x before 1.2.2, 1.3.x before 1.3.1, and 1.4.0-dev might crash because the code accidentally calls inappropriate function. A malicious actor can therefore cause a denial of service of Mesos masters rendering the Mesos-controlled cluster inoperable. Al gestionar un error de descodificación para una ruta URL malformada de una petición HTTP, libprocess en Apache Mesos en versiones anteriores a la 1.1.3, las versiones 1.2.x anteriores a la 1.2.2, las 1.3.x anteriores a la 1.3.1 y 1.4.0-dev podría cerrarse inesperadamente ya que el código llama por error a una función no apropiada. Por lo tanto, un actor malicioso podría provocar una denegación de servicio (DoS) de los nodos Maestro de Mesos, haciendo que el clúster controlado por Mesos no funcione. • http://www.securityfocus.com/bid/101027 https://lists.apache.org/thread.html/2c9ed2b07c2b2831a11d21db3cf8408a71fcf2c300d73ca01bad89df%40%3Cdev.mesos.apache.org%3E •
CVE-2017-9790
https://notcve.org/view.php?id=CVE-2017-9790
When handling a libprocess message wrapped in an HTTP request, libprocess in Apache Mesos before 1.1.3, 1.2.x before 1.2.2, 1.3.x before 1.3.1, and 1.4.0-dev crashes if the request path is empty, because the parser assumes the request path always starts with '/'. A malicious actor can therefore cause a denial of service of Mesos masters rendering the Mesos-controlled cluster inoperable. Cuando se procesa un mensaje libprocess contenido en una petición HTTP, libprocess en Apache Mesos en versiones anteriores a la 1.1.3, 1.2.x anteriores a la 1.2.2, 1.3.x anteriores a la 1.3.3 y 1.4.0-dev se cierra de manera inesperada si la ruta de la petición está vacía porque el analizador sintáctico asume que la ruta de la petición siempre empieza por "/". Un atacante malicioso podría entonces provocar una denegación de servicio (DoS) en los nodos Maestro de Meses, haciendo que el clúster controlado por Mesos se vuelva inoperable. • http://www.securityfocus.com/bid/101023 https://lists.apache.org/thread.html/cc1e7a69ea78da0511f5b54b6be7aa6e3c78edad5aaff430e7de028b%40%3Cdev.mesos.apache.org%3E • CWE-416: Use After Free •