您好,欢迎访问中国矿业大学徐海学院图文信息中心网站
服务指南
关于Apache Kafka Connect远程代码执行漏洞(CVE-2023-25194)的预警提示
发布时间:2023-02-21
作者: 图档网信办公室
浏览次数:58

一、漏洞详情

Apache Kafka是一个开源分布式事件流平台。可以使用Apache Kafka ConnectApache Kafka和其他系统之间流式传输数据,Connect使得快速定义Kafka连接器变得非常简单,这些连接器可以将大量数据移入和移出Kafka

Apache发布安全公告,修复了Apache Kafka Connect中的一个远程代码执行漏洞(CVE-2023-25194)。

Apache Kafka 版本2.3.0 - 3.3.2中,能够访问Kafka Connect worker,并能够使用任意Kafka客户端SASL JAAS配置和基于SASL的安全协议在其上创建或修改连接器的恶意行为者可以发送JNDI请求,导致拒绝服务或远程代码执行。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

2.3.0 <= Apache Kafka版本 <= 3.3.2

三、修复建议

目前该漏洞已经修复,受影响用户可及时升级到Apache Kafka 版本3.4.0

下载链接:https://kafka.apache.org/downloads


服务指南
热门栏目
中国矿业大学徐海学院 版权所有 Copyright © 2019 All Rights Reserved. 苏公网安备 32031202000355号  苏ICP备10207513号