Apache Kafka ACL配置错误漏洞 (CVE-2024-27309)

漏洞类型 权限管理不当 发现时间 2024-04-12 漏洞等级 高危
MPS编号 MPS-pyb8-l75n CVE编号 CVE-2024-27309 漏洞影响广度 广

漏洞危害

OSCS 描述
Kafka 是 Apache 软件基金会的一种分布式的、基于发布/订阅的消息系统。
Apache Kafka在从ZooKeeper模式迁移到KRaft模式时存在ACL未正确配置风险。
当管理员移除ACL并且资源在移除ACL后仍有其他ACL关联时,Kafka会错误地将资源视为只有一个ACL关联而忽略其他ACL。由于ACL没有生效导致攻击者可以访问Kafka中的敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-pyb8-l75n

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.kafka:kafka-metadata [3.5.0, 3.6.2) 升级 将 org.apache.kafka:kafka-metadata 升级至 3.6.2 及以上版本
kafka [3.5.0, 3.6.2) 升级 将组件 kafka 升级至 3.6.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-pyb8-l75n

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-pyb8-l75n

https://github.com/apache/kafka/commit/3c623b4fb50144cba782c0704f345e6473e66f02

https://seclists.org/oss-sec/2024/q2/105

https://nvd.nist.gov/vuln/detail/CVE-2024-27309

(0)
上一篇 2024年4月15日
下一篇 2024年4月15日

相关推荐

  • Jenkins CLI 任意文件读取漏洞导致远程代码执行风险 (CVE-2024-23897)

    漏洞类型 路径遍历 发现时间 2024-01-24 漏洞等级 高危 MPS编号 MPS-nw0b-89j6 CVE编号 CVE-2024-23897 漏洞影响广度 一般 漏洞危害 OSCS 描述 Jenkins CLI 是 Jenkins 内置的命令行页面。 Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,该库默认将参数中 @ 字符后的…

    2024年1月25日
    0
  • Apache Airflow Spark Provider 任意文件读取漏洞 (CVE-2023-40272) [有POC]

    漏洞类型 输入验证不恰当 发现时间 2023-08-17 漏洞等级 高危 MPS编号 MPS-w0kg-9vl7 CVE编号 CVE-2023-40272 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Airflow Spark Provider是Apache Airflow项目的一个插件,用于在Airflow中管理和调度Apache Spar…

    2023年8月20日
    0
  • Apache Pulsar 主题级策略管理模块存在越权漏洞 (CVE-2024-28098)

    漏洞类型 授权检查错误 发现时间 2024-03-13 漏洞等级 中危 MPS编号 MPS-2zt9-up36 CVE编号 CVE-2024-28098 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Pulsar 是开源的分布式发布-订阅消息传递系统,主题级策略管理模块允许高权限用户(如租户管理员或超级用户角色)对主题应用特定的配置和策略。 受…

    2024年3月14日
    0
  • Apache NiFi 远程资源检索功能存在命令注入漏洞 (CVE-2023-36542)

    漏洞类型 代码注入 发现时间 2023/7/29 漏洞等级 高危 MPS编号 MPS-h7gi-f1vl CVE编号 CVE-2023-36542 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache NiFi 是一个开源的数据流处理和自动化工具。Apache NiFi 1.23.0之前版本中包含使用 HTTP URL 进行远程资源检索的 Process…

    2023年8月11日
    0
  • OGC WPS 服务端请求伪造 (CVE-2023-43795)

    漏洞类型 SSRF 发现时间 2023-10-25 漏洞等级 高危 MPS编号 MPS-fie8-1z7r CVE编号 CVE-2023-43795 漏洞影响广度 一般 漏洞危害 OSCS 描述 OGC WPS 是一个允许通过网络请求执行各种地理信息任务的地理信息处理标准。 OGC WPS规范允许对外部URL进行引用,导致攻击者能构造恶意请求,引用恶意的外部…

    2023年10月25日
    0