Apache Pulsar 升级 protobuf-java 以解决 CVE-2024-7254 安全问题

Apache Pulsar 社区近期发现项目中使用的 protobuf-java 库存在一个被标记为重要级别的安全问题 CVE-2024-7254。虽然该问题在实际使用场景中对 Pulsar 用户影响有限，但出于安全最佳实践的考虑，社区决定对相关依赖进行升级处理。

问题背景

Protocol Buffers（简称 protobuf）是 Google 开发的一种高效的数据序列化格式，广泛应用于分布式系统中。protobuf-java 是其 Java 实现版本。CVE-2024-7254 是该库中发现的一个安全问题，被归类为重要级别。

在 Apache Pulsar 的多个版本中，包括 3.0.x、3.3.x 以及主分支，都使用了存在此问题的 protobuf-java 版本。虽然实际影响有限，但为了遵循安全最佳实践，社区决定将 protobuf-java 升级至 3.25.5 版本以彻底解决此问题。

升级方案

升级工作涉及多个方面：

1. 直接升级 protobuf-java 到 3.25.5 版本
2. 同时解决 protobuf-java 版本兼容性问题
3. 确保 BookKeeper 相关组件也同步升级

特别值得注意的是，protoc 生成的存根类通常只与特定版本的 protobuf-java 兼容，跨版本使用时可能出现兼容性问题。因此，升级方案中特别考虑了客户端应用程序的兼容性需求，允许客户端应用选择适合自己环境的 protobuf-java 版本。

技术考量

在实施升级过程中，开发团队考虑了以下技术因素：

• 向后兼容性：确保升级不会破坏现有功能
• 客户端灵活性：允许客户端应用选择 protobuf-java 版本
• 依赖管理：协调 Pulsar 与 BookKeeper 的依赖关系
• 测试验证：全面验证升级后的系统稳定性

实施进展

Apache Pulsar 社区已经完成了相关升级工作，并通过了必要的测试验证。这一升级不仅解决了 CVE-2024-7254 安全问题，还为客户端应用提供了更大的灵活性，使其能够根据自身需求选择合适的 protobuf-java 版本。

对于使用 Apache Pulsar 的开发者和运维人员，建议尽快升级到包含此修复的版本，以确保系统的安全性和稳定性。同时，在客户端应用开发中，可以利用新版本提供的灵活性，更好地管理 protobuf-java 依赖版本。