Functions SDK для EdgeX предназначен для обеспечения всего необходимого для разработчиков, чтобы начать обработку/преобразование/экспорт да…

Functions SDK для EdgeX предназначен для обеспечения всего необходимого для разработчиков, чтобы начать обработку/преобразование/экспорт данных из платформы EdgeX IoT. В затронутых версиях нарушенное шифрование в app-functions-sdk "AES" transform в выпусках EdgeX Foundry до Jakarta позволяет злоумышленникам расшифровывать сообщения с помощью неуказанных векторов. App-functions-sdk экспортирует преобразование "aes", которое пользовательские скрипты могут дополнительно вызывать для шифрования данных в конвейере обработки. Функция расшифровки не предусмотрена. Шифрование не включено по умолчанию, но, если оно используется, уровень защиты может быть ниже, чем ожидает пользователь, из-за нарушенной реализации. Версия v2.1.0 (выпуск EdgeX Foundry Jakarta и более поздние версии) app-functions-sdk-go/v2 объявляет преобразование "aes" устаревшим и предоставляет улучшенное преобразование "aes256" на его месте. Нарушенная реализация останется в устаревшем состоянии до тех пор, пока она не будет удалена в следующем основном выпуске EdgeX, чтобы избежать нарушения существующего программного обеспечения, которое зависит от нарушенной реализации. Поскольку нарушенное преобразование является функцией библиотеки, которая не вызывается по умолчанию, пользователи, которые не используют преобразование AES в своих конвейерах обработки, не подвержены уязвимости. Тем, кто подвержен уязвимости, настоятельно рекомендуется перейти на выпуск Jakarta EdgeX и изменить конвейеры обработки для использования нового преобразования "aes256".