Apache Kafka ACL配置错误漏洞 (CVE-2024-27309)

漏洞类型 权限管理不当 发现时间 2024-04-12 漏洞等级 高危
MPS编号 MPS-pyb8-l75n CVE编号 CVE-2024-27309 漏洞影响广度 广

漏洞危害

OSCS 描述
Kafka 是 Apache 软件基金会的一种分布式的、基于发布/订阅的消息系统。
Apache Kafka在从ZooKeeper模式迁移到KRaft模式时存在ACL未正确配置风险。
当管理员移除ACL并且资源在移除ACL后仍有其他ACL关联时,Kafka会错误地将资源视为只有一个ACL关联而忽略其他ACL。由于ACL没有生效导致攻击者可以访问Kafka中的敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-pyb8-l75n

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.kafka:kafka-metadata [3.5.0, 3.6.2) 升级 将 org.apache.kafka:kafka-metadata 升级至 3.6.2 及以上版本
kafka [3.5.0, 3.6.2) 升级 将组件 kafka 升级至 3.6.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-pyb8-l75n

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-pyb8-l75n

https://github.com/apache/kafka/commit/3c623b4fb50144cba782c0704f345e6473e66f02

https://seclists.org/oss-sec/2024/q2/105

https://nvd.nist.gov/vuln/detail/CVE-2024-27309

(0)
上一篇 2024年4月15日
下一篇 2024年4月15日

相关推荐

  • follow-redirects<1.15.4 主机名验证不当漏洞 (CVE-2023-26159)

    漏洞类型 输入验证不恰当 发现时间 2024-01-02 漏洞等级 高危 MPS编号 MPS-2023-5153 CVE编号 CVE-2023-26159 漏洞影响广度 极小 漏洞危害 OSCS 描述 follow-redirects 是用于自动处理 HTTP 和 HTTPS 请求重定向的NPM组件包。 follow-redirects 1.15.4之前版本…

    2024年1月3日
    0
  • Sonatype Nexus Repository 3<3.68.1 任意文件下载漏洞 (CVE-2024-4956)

    漏洞类型 路径遍历 发现时间 2024-05-17 漏洞等级 高危 MPS编号 MPS-acvt-3krg CVE编号 CVE-2024-4956 漏洞影响广度 漏洞危害 OSCS 描述 Sonatype Nexus Repository 3 是开源的制品库,用于存储和管理软件构建制品。 受影响版本中存在路径遍历漏洞,未经身份验证的攻击者可通过构造恶意的 U…

    漏洞 6天前
    0
  • Splunk Enterprise for Windows 反序列化漏洞 (CVE-2024-23678)

    漏洞类型 输入验证不恰当 发现时间 2024-01-23 漏洞等级 高危 MPS编号 MPS-qxjm-zyb4 CVE编号 CVE-2024-23678 漏洞影响广度 一般 漏洞危害 OSCS 描述 Splunk 是一个机器数据引擎,用于收集、索引和利用应用程序、服务器和设备生成的快速移动型计算机数据 。 Splunk Enterprise for Win…

    2024年1月24日
    0
  • 泛微 e-cology9 存在任意用户登录漏洞

    漏洞类型 身份验证不当 发现时间 2023/5/16 漏洞等级 高危 MPS编号 MPS-qj5s-7z0o CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。泛微e-cology9部分版本中存在前台任意用户登录漏洞,由于系统默认配置固定密钥进行用户身份验证。当存在/m…

    2023年8月31日
    0
  • OpenSSH <9.6 命令注入漏洞 (CVE-2023-51385)

    漏洞类型 OS命令注入 发现时间 2023-12-19 漏洞等级 高危 MPS编号 MPS-9rip-l1u7 CVE编号 CVE-2023-51385 漏洞影响广度 广 漏洞危害 OSCS 描述 OpenSSH 是使用 SSH 协议进行远程登录的连接工具。 在OpenSSH 9.6版本之前的ssh中,如果用户名或主机名中含有shell元字符(如 | &#8…

    2023年12月20日
    0