Las vulnerabilidades afectan a componentes clave del sistema y a librerías utilizadas por Tanzu Greenplum. Las más relevantes incluyen:
CVE-2024-38824 – Directory traversal en el método recv_file, que permite escribir archivos arbitrarios en el directorio de caché maestro, comprometiendo la integridad del nodo.
CVE-2025-22871 – Problema en net/http derivado de la aceptación incorrecta de saltos de línea (LF), lo que puede facilitar HTTP request smuggling cuando el servidor interactúa con otros servicios que procesan fragmentos de forma insegura.
CVE-2022-32221 – Fallo en libcurl que puede provocar comportamientos inesperados durante transferencias HTTP(S), especialmente al reutilizar manejadores entre solicitudes PUT y POST.
CVE-2022-32207 – Manejo inseguro de operaciones de guardado de cookies, alt-svc y HSTS en curl, que puede causar una ampliación involuntaria de permisos en archivos locales.
En conjunto, estas vulnerabilidades pueden comprometer la confidencialidad, integridad y disponibilidad del entorno Greenplum, especialmente en despliegues expuestos o con componentes interconectados con sistemas HTTP.
Actualizar inmediatamente a:
- VMware Tanzu Greenplum 6.31.1
- VMware Tanzu Greenplum 7.6.1
Revisar sistemas para detectar:
- Archivos inesperados en el directorio de caché maestro.
- Actividad anómala relacionada con peticiones HTTP fragmentadas o inconsistentes.
- Cambios no autorizados en permisos o archivos gestionados por curl.
Limitar la exposición de interfaces y servicios HTTP que interactúen con Greenplum.
Aplicar políticas de endurecimiento:
- Restricción de permisos en directorios sensibles.
- Monitorización de integridad de archivos.
- Revisión de permisos en archivos generados por curl.
Mantener al día las librerías y dependencias relacionadas (curl, net/http, módulos auxiliares).