Apache Kafka远程代码执行漏洞CVE-2023-25194

近日,我司监测到Apache发布安全公告,修复了一个存在于Apache Kafka中的远程代码执行漏洞,经过身份认证的攻击者可以创建/修改Connect,将任意Kafka客户端的sasl.jaas.config属性设置为com.sun.security.auth.module.JndiLoginModule,这个操作可以通过producer.override.sasl.jaas.config、consumer.override.sasl.jaas.config或者admin.override.sasl.jaas.config 属性完成。这将允许服务器连接到攻击者的LDAP服务器并通过Connect反序列化LDAP响应远程执行恶意代码。

Apache Kafka是一个开源消息系统项目,由Scala写成。该项目的目标是为处理实时数据提供一个统一、高通量、低等待的平台。

 

影响版本:

  • 2.3.0 <= Apache Kafka < 3.4.0

 

安全版本:

  • Apache Kafka >= 3.4.0

 

修复建议:

官方已经针对漏洞发布了版本更新,下载地址如下:

https://kafka.apache.org/downloads

 

发表评论

评论已关闭。

相关文章