CVE-2017-7652
https://notcve.org/view.php?id=CVE-2017-7652
In Eclipse Mosquitto 1.4.14, if a Mosquitto instance is set running with a configuration file, then sending a HUP signal to server triggers the configuration to be reloaded from disk. If there are lots of clients connected so that there are no more file descriptors/sockets available (default limit typically 1024 file descriptors on Linux), then opening the configuration file will fail. En Eclipse Mosquitto, si se establece una instancia de Mosquitto ejecutándose con un archivo de configuración, el envío de una señal HUP al servidor provoca que la configuración se recargue desde el disco. Si hay muchos clientes conectados de tal forma que ya no queden más descriptores de archivos/sockets disponibles (el límite normal por defecto suele ser de 1024 descriptores de archivos en Linux), no se podrá abrir el archivo de configuración. • https://bugs.eclipse.org/bugs/show_bug.cgi?id=530102 https://lists.debian.org/debian-lts-announce/2018/03/msg00037.html https://lists.debian.org/debian-lts-announce/2018/06/msg00016.html https://mosquitto.org/blog/2018/02/security-advisory-cve-2017-7651-cve-2017-7652 https://www.debian.org/security/2018/dsa-4325 • CWE-789: Memory Allocation with Excessive Size Value •
CVE-2017-7651
https://notcve.org/view.php?id=CVE-2017-7651
In Eclipse Mosquitto 1.4.14, a user can shutdown the Mosquitto server simply by filling the RAM memory with a lot of connections with large payload. This can be done without authentications if occur in connection phase of MQTT protocol. En Eclipse Mosquitto 1.4.14, un usuario puede cerrar el servidor Mosquitto simplemente llenando la memoria RAM con muchas conexiones con una carga útil grande. Esto puede hacerse sin autenticaciones si ocurre en la fase de conexión del protocolo MQTT. • https://github.com/St3v3nsS/CVE-2017-7651 https://bugs.eclipse.org/bugs/show_bug.cgi?id=529754 https://lists.debian.org/debian-lts-announce/2018/03/msg00037.html https://lists.debian.org/debian-lts-announce/2018/06/msg00016.html https://mosquitto.org/blog/2018/02/security-advisory-cve-2017-7651-cve-2017-7652 https://www.debian.org/security/2018/dsa-4325 • CWE-400: Uncontrolled Resource Consumption CWE-789: Memory Allocation with Excessive Size Value •
CVE-2017-9868
https://notcve.org/view.php?id=CVE-2017-9868
In Mosquitto through 1.4.12, mosquitto.db (aka the persistence file) is world readable, which allows local users to obtain sensitive MQTT topic information. En Mosquitto hasta la versión 1.4.12, mosquitto.db (también conocido como archivo de persistencia) es legible por todo el mundo, lo que permite a los usuarios locales obtener información sensible de los topic's MQTT. • https://github.com/eclipse/mosquitto/issues/468 https://lists.debian.org/debian-lts-announce/2018/09/msg00036.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2017-7650
https://notcve.org/view.php?id=CVE-2017-7650
In Mosquitto before 1.4.12, pattern based ACLs can be bypassed by clients that set their username/client id to '#' or '+'. This allows locally or remotely connected clients to access MQTT topics that they do have the rights to. The same issue may be present in third party authentication/access control plugins for Mosquitto. En Mosquitto en versiones anteriores a la 1.4.12, las listas de control de acceso (ACL) basadas en patrones pueden ser omitidas por clientes que establecen su ID de nombre de usuario/cliente como '#' o '+'. Esto permite que los clientes conectados de forma local o remota accedan a temas MQTT a los que no tienen derecho de acceso. • http://mosquitto.org/2017/05/security-advisory-cve-2017-7650 http://www.debian.org/security/2017/dsa-3865 http://www.securityfocus.com/bid/98741 https://bugs.eclipse.org/bugs/show_bug.cgi?id=516765 • CWE-287: Improper Authentication •