Apache Kafka ACL配置错误漏洞 (CVE-2024-27309)

漏洞类型 权限管理不当 发现时间 2024-04-12 漏洞等级 高危
MPS编号 MPS-pyb8-l75n CVE编号 CVE-2024-27309 漏洞影响广度 广

漏洞危害

OSCS 描述
Kafka 是 Apache 软件基金会的一种分布式的、基于发布/订阅的消息系统。
Apache Kafka在从ZooKeeper模式迁移到KRaft模式时存在ACL未正确配置风险。
当管理员移除ACL并且资源在移除ACL后仍有其他ACL关联时,Kafka会错误地将资源视为只有一个ACL关联而忽略其他ACL。由于ACL没有生效导致攻击者可以访问Kafka中的敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-pyb8-l75n

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.kafka:kafka-metadata [3.5.0, 3.6.2) 升级 将 org.apache.kafka:kafka-metadata 升级至 3.6.2 及以上版本
kafka [3.5.0, 3.6.2) 升级 将组件 kafka 升级至 3.6.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-pyb8-l75n

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-pyb8-l75n

https://github.com/apache/kafka/commit/3c623b4fb50144cba782c0704f345e6473e66f02

https://seclists.org/oss-sec/2024/q2/105

https://nvd.nist.gov/vuln/detail/CVE-2024-27309

(0)
上一篇 2024年4月15日
下一篇 2024年4月15日

相关推荐

  • Apache OFBiz 任意文件读取和 SSRF 漏洞 (CVE-2023-50968)

    漏洞类型 SSRF 发现时间 2023-12-26 漏洞等级 中危 MPS编号 MPS-e3rj-bani CVE编号 CVE-2023-50968 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。 在 getJSONuiLabelArray 接口的处理方法 CommonEvents.java#getJS…

    2023年12月28日
    0
  • Atlassian Confluence Data Center/Server 模板注入漏洞 (CVE-2023-22522)

    漏洞类型 代码注入 发现时间 2023-12-06 漏洞等级 严重 MPS编号 MPS-2023-0023 CVE编号 CVE-2023-22522 漏洞影响广度 一般 漏洞危害 OSCS 描述 Confluence 是由Atlassian公司开发的企业协作和文档管理工具。 Atlassian Confluence Data Center/Server 受影…

    2023年12月8日
    0
  • Apache OFBiz Solr 存在未授权访问漏洞 (CVE-2023-46819)

    漏洞类型 关键功能的认证机制缺失 发现时间 2023-11-08 漏洞等级 中危 MPS编号 MPS-a5cl-euw1 CVE编号 CVE-2023-46819 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。Solr是一个搜索平台,它提供了许多功能,包括全文搜索、动态聚类、数据库集成等。(默认未安装该…

    2023年11月9日
    0
  • GitLab workspace 任意文件写入漏洞 (CVE-2024-0402)

    漏洞类型 相对路径遍历 发现时间 2024-01-26 漏洞等级 严重 MPS编号 MPS-ao1v-ghp4 CVE编号 CVE-2024-0402 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是基于Git的集成软件开发平台,workspace 是 GitLab 中用于运行隔离开发环境的虚拟沙箱。 GitLab 受影响版本中在用户创建 wor…

    2024年1月27日
    0
  • GitLab CE/EE 公共组的名称或路径可被更改 ( CVE-2023-3484)

    漏洞类型 访问控制不当 发现时间 2023/7/6 漏洞等级 高危 MPS编号 MPS-93os-eldn CVE编号 CVE-2023-3484 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是一款基于Git的代码托管、版本控制、协作开发平台。在 GitLab CE/EE 12.8 至 15.11.11 版本、16.0 至 16.0.7 版本以…

    2023年9月1日
    0