一、漏洞详情
Apache Kafka是一个开源分布式事件流平台。可以使用Apache Kafka Connect在Apache Kafka和其他系统之间流式传输数据,Connect使得快速定义Kafka连接器变得非常简单,这些连接器可以将大量数据移入和移出Kafka。
Apache发布安全公告,修复了Apache Kafka Connect中的一个远程代码执行漏洞(CVE-2023-25194)。
在Apache Kafka 版本2.3.0 - 3.3.2中,能够访问Kafka Connect worker,并能够使用任意Kafka客户端SASL JAAS配置和基于SASL的安全协议在其上创建或修改连接器的恶意行为者可以发送JNDI请求,导致拒绝服务或远程代码执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
2.3.0 <= Apache Kafka版本 <= 3.3.2
三、修复建议
目前该漏洞已经修复,受影响用户可及时升级到Apache Kafka 版本3.4.0。
下载链接:https://kafka.apache.org/downloads