辰东,《完美世界》txt全集

Apache Kafka Connect遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警通告

安全通告

Apache Kafka Connect遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警通告

發(fā)布日期：2023-2-21

漏洞描述

2023年2月21日公司監(jiān)測(cè)到Apache官方發(fā)布了Apache Kafka Connect遠(yuǎn)程代碼執(zhí)行漏洞風(fēng)險(xiǎn)通告。Apache Kafka是一個(gè)分布式數(shù)據(jù)流處理平臺(tái)，可以實(shí)時(shí)發(fā)布、訂閱、存儲(chǔ)和處理數(shù)據(jù)流。Kafka Connect是一種用于在kafka和其他系統(tǒng)之間可擴(kuò)展、可靠的流式傳輸數(shù)據(jù)的工具。攻擊者可以利用基于SASLJAAS 配置和SASL 協(xié)議的任意Kafka客戶端，對(duì)Kafka Connect worker 創(chuàng)建或修改連接器時(shí)，通過(guò)構(gòu)造特殊的配置，進(jìn)行JNDI 注入來(lái)實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

漏洞編號(hào)

CVE-2023-25194

漏洞危害

攻擊者可以利用基于SASLJAAS 配置和SASL 協(xié)議的任意Kafka客戶端，對(duì)Kafka Connect worker 創(chuàng)建或修改連接器時(shí)，通過(guò)構(gòu)造特殊的配置，進(jìn)行JNDI 注入來(lái)實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

漏洞等級(jí)

嚴(yán)重
受影響版本

2.3.0<=Apache Kafka<=3.3.2

修復(fù)方案

目前官方已發(fā)布安全修復(fù)版本，建議廣大用戶通過(guò)以下鏈接及時(shí)將Apache Kafka更新到3.4.0版本。

https://kafka.apache.org/downloads

參考鏈接

https://kafka.apache.org/documentation.html#connect

漏洞播報(bào)

Apache Kafka Connect遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警通告

聯(lián)系我們：cert@chaosec.com