漏洞预警|Apache Kafka 拒绝服务漏洞

最新推荐文章于 2023-11-30 15:06:54 发布
最新推荐文章于 2023-11-30 15:06:54 发布
阅读量831 收藏
点赞数
分类专栏: 漏洞预警 文章标签: kafka java 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/126996566
版权

近日网上有关于开源项目Apache Kafka 拒绝服务漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Apache Kafka是一个高度可扩展的分布式消息队列。

项目主页

Apache Kafka

代码托管地址

GitHub - apache/kafka: Mirror of Apache Kafka

CVE编号

CVE-2022-34917

漏洞情况

Apache Kafka是一个高度可扩展的分布式消息队列。

在Apache Kafka受影响版本中,允许未经身份验证的恶意客户端在Broker上分配大量内存,这可能导致Broker内存不足进而导致拒绝服务。

攻击场景:

  1. 没有身份验证的Kafka集群:任何能够与Broker建立网络连接的客户端都可能引发该问题。
  2. 具有SASL身份验证的Kafka集群:任何能够与Broker建立网络连接而无需有效SASL凭据的客户端都可以触发问题。
  3. 具有TLS身份验证的Kafka集群:只有能够通过TLS成功身份验证的客户端才能触发问题。

受影响的版本

org.apache.kafka:kafka_2.12@[3.1.0, 3.1.2)

org.apache.kafka:kafka_2.12@[3.2.0, 3.2.3)

org.apache.kafka:kafka_2.13@[3.2.0, 3.2.3)

org.apache.kafka:kafka_2.13@[3.1.0, 3.1.2)

org.apache.kafka:kafka_2.12@[3.0.0, 3.0.2)

org.apache.kafka:kafka_2.12@[2.8.0, 2.8.2)

org.apache.kafka:kafka_2.13@[3.0.0, 3.0.2)

org.apache.kafka:kafka_2.13@[2.8.0, 2.8.2)

 

修复方案

升级org.apache.kafka:kafka_2.13到 2.8.2 或 3.0.2 或 3.1.2 或 3.2.3 或更高版本

升级org.apache.kafka:kafka_2.12到 2.8.2 或 3.0.2 或 3.1.2 或 3.2.3 或更高版本

链接地址:

https://kafka.apache.org/cve-list

https://www.openwall.com/lists/oss-security/2022/09/19/3

https://nvd.nist.gov/vuln/detail/CVE-2022-34917

棱镜七彩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Log-File-Processing-Data-Pipeline:使用Lambda架构构建的日志文件处理数据管道| 水槽| Apache Spark | 火花流| Apache Kafka | HDFS | Hbase | 蜂巢| 黑斑羚| Oozie
05-10
日志文件处理数据管道使用Lambda架构构建的日志文件处理数据管道| 水槽| Apache Spark | 火花流| Apache Kafka | HDFS | Hbase | 蜂巢| 黑斑羚| Oozie介绍•从Web服务器日志存储,处理和挖掘数据已成为当今许多公司...
apache kafka
11-27
Kafka是一个对于像Hadoop的一样的日志数据和离线分析系统,但又要求实时处理的限制,这是一个可行的解决方案。 1.Kafka集群包含一个或多个服务器,这种服务器被称为broker 2.Partition是物理上的概念,每个Topic...
Apache Kafka desrialization vulnerability via runtime
cnbird's blog
07-21 1245
import junit.framework.Test; import junit.framework.TestCase; import junit.framework.TestSuite; import org.apache.commons.io.FileUtils; import org.apache.kafka.connect.runtime.standalone.StandaloneCon
修复 Apache Kafka 中的远程代码执行漏洞CVE-2023-25194
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
11-30 1006
Kafka Connect 中发现可能的 RCE 和拒绝服务问题。更新 阿帕奇软件基金会 (ASF) 已解决了一个漏洞,该漏洞可被利用来使用 Kafka Connect 发起远程代码执行 (RCE) 攻击。该关键漏洞于 2 月 8 日公布,被追踪为 CVE-2023-25194。Apache Kafka Connect 是 Apache Kafka 的一个免费开源组件,是系统、数据库和键值存储之间数据集成的中心枢纽。
配置类安全问题学习小结
dayouzi的博客
09-06 6832
此文主要是针对扫描器常见的一些配置性漏洞的概述及如何修复的一些建议。
漏洞真实影响分析】Apache Kafka Connect 模块JNDI注入(CVE-2023-25194)
murphysec的博客
02-13 4621
Apache Kafka Connect 是Kafka中用于和其他数据系统传输数据的服务,其独立运行版本可以在Kafka发布包中通过bin/connect-standalone.sh启动,默认会在8083端口开启HTTP REST API服务,可对连接器(Connector)的配置进行操作
Kayak-Travel-Reservation:使用MERN堆栈的类似Kayak.com的网络旅行预订应用程序| Apache Kafka | Elasticsearch | 雷迪斯
05-10
该项目是使用MERN堆栈开发的,并使用了诸如Apache Kafka之类的分布式发布-订阅消息传递系统以及诸如Elasticsearch,Redis,mocha等各种其他技术。 系统设计 技术栈 区域 技术 前端 React,Redux,React Router,...
apache kafka查询手册
最新发布
02-04
Apache Kafka是一种分布式流处理平台,由LinkedIn开发并在2011年开源,后来成为Apache软件基金会的顶级项目。Kafka最初设计目标是构建一个实时的数据管道和流处理系统,但随着时间的发展,它已经成为大数据领域中不...
Apache Kafka实战.pdf
02-21
Apache Kafka实战》这本书深入浅出地介绍了Apache Kafka这一分布式流处理平台的各个方面,旨在帮助读者掌握Kafka的实际应用和核心概念。Kafka是一个高吞吐量、低延迟的消息发布订阅系统,常用于构建实时数据管道和...
zookeeper安全漏洞修复
01-17
ZooKeeper 未授权访问【原理扫描】,zookeeper安全漏洞修复方法和操作步骤
kafka漏洞升级记录,基于SASL JAAS 配置和 SASL 协议,涉及版本3.4以下
c1115759748的博客
02-10 1051
攻击者可以使用基于 SASL JAAS 配置和 SASL 协议的任意 Kafka 客户端,在对 Kafka Connect worker 创建或修改连接器时,通过构造特殊的配置,进行 JNDI 注入。影响范围:2.3.0
CVE-2023-25194漏洞 Apache Kafka Connect JNDI注入漏洞
Fiverya的博客
02-10 3736
CVE-2023-25194漏洞
Kafka漏洞修复之CVE-2023-25194修复措施验证
CharlesYan的博客
02-19 4141
Apache Kafka Connect 模块通过JNDI 注入任意代码漏洞修复措施验证,包括Linux安装多版本JDK动态切换、验证OpenJDK与Kafka3.4.0的兼容性以及Linux中文件配置的优先级等
Spring boot使用Kafka Java反序列化漏洞 CVE-2023-34040
日拱一卒无有尽,功不唐捐终入海
08-30 1626
背景:公司项目扫描到 Spring-Kafka上使用通配符模式匹配进行的安全绕过漏洞 CVE-2023-20873Spring Kafka 是 Spring 框架提供的一个库,它提供了使用 Apache Kafka 的便捷方式。Apache Kafka 是一个开源的流处理平台,主要用于构建实时数据流管道和应用。Spring Kafka 通过提供一种抽象和封装的方法,使开发者能够更容易地在 Spring 框架中使用 Apache Kafka
Kafka】log4j2漏洞不影响集群安全
扬_帆_起_航
12-01 455
虽然Kafka不会受此事件影响,但是Kafka客户端日志输出需要用户单独引用配置,所以大家还是注意一下是否使用受影响版本的log4j2.x进行日志打印。
Kafka自带的Zookeeper未授权访问漏洞
qq_36923426的博客
12-18 8159
漏洞描述 Zookeeper的默认开放端口是2181.Zookeeper安装部署之后默认情况下不需要任何身份验证。造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏。 修复建议 一、添加访问控制,配置服务来源地址限制策略(方便实惠、干净卫生) 在zookeeper.properties中添加clientPortAddress=127.0.0.1 二、增加Zookeeper的认证配置(麻烦) 1)增加认证用户 addauth digest user1
漏洞预警|Apache Kafka Connect JNDI注入漏洞
LJQClqjc的博客
02-16 625
棱镜七彩漏洞预警
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值