CVE-2026-41081: Apache Storm Client 匿名主体分配漏洞 漏洞概述 漏洞名称: Apache Storm Client: Anonymous principal assigned on TLS client certificate verification failure 严重程度: 中等 (Moderate) 描述: 当在 Apache Storm 中启用 TLS 传输但不要求客户端证书认证(默认配置)时,如果未提供客户端证书或证书验证失败, 会分配一个回退主体(CN=ANONYMOUS),而不是拒绝连接。 影响: 未经验证的用户可能获得对 Storm 服务的未授权访问。如果配置的授权器(如 )未显式拒绝访问 ,可能导致未授权客户端被分配主体身份,从而绕过权限控制。 影响范围 受影响版本: Apache Storm Client ( ) 2.8.7 之前的版本。 受影响组件: 最多 2.8.7 版本。 修复方案 推荐修复: 用户应升级到 2.8.7 版本,该版本以“fail-closed”方式处理 TLS 认证失败。 临时缓解措施(无法立即升级时): - 启用强制客户端证书认证: - 确保授权规则显式拒绝访问 。 - 审查 ACL 配置,消除隐式默认允许行为。