Apache Kafka ACL配置错误漏洞 (CVE-2024-27309)

漏洞类型 权限管理不当 发现时间 2024-04-12 漏洞等级 高危
MPS编号 MPS-pyb8-l75n CVE编号 CVE-2024-27309 漏洞影响广度 广

漏洞危害

OSCS 描述
Kafka 是 Apache 软件基金会的一种分布式的、基于发布/订阅的消息系统。
Apache Kafka在从ZooKeeper模式迁移到KRaft模式时存在ACL未正确配置风险。
当管理员移除ACL并且资源在移除ACL后仍有其他ACL关联时,Kafka会错误地将资源视为只有一个ACL关联而忽略其他ACL。由于ACL没有生效导致攻击者可以访问Kafka中的敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-pyb8-l75n

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.kafka:kafka-metadata [3.5.0, 3.6.2) 升级 将 org.apache.kafka:kafka-metadata 升级至 3.6.2 及以上版本
kafka [3.5.0, 3.6.2) 升级 将组件 kafka 升级至 3.6.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-pyb8-l75n

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-pyb8-l75n

https://github.com/apache/kafka/commit/3c623b4fb50144cba782c0704f345e6473e66f02

https://seclists.org/oss-sec/2024/q2/105

https://nvd.nist.gov/vuln/detail/CVE-2024-27309

(0)
上一篇 2024年4月15日
下一篇 2024年4月15日

相关推荐

  • MinIO 权限提升漏洞 (CVE-2024-24747)

    漏洞类型 权限管理不当 发现时间 2024-02-01 漏洞等级 高危 MPS编号 MPS-80no-taj1 CVE编号 CVE-2024-24747 漏洞影响广度 广 漏洞危害 OSCS 描述 MinIO是一个高性能对象存储服务。 Minio中创建访问密钥时权限继承存在问题。创建新的访问密钥会继承其父密钥对s3:*和admin:*的操作权限,如果在访问密…

    2024年2月2日
    0
  • Apache InLong < 1.12.0 JDBC反序列化漏洞 (CVE-2024-26579)

    漏洞类型 反序列化 发现时间 2024-05-09 漏洞等级 高危 MPS编号 MPS-7rbq-ze46 CVE编号 CVE-2024-26579 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache InLong 是开源的高性能数据集成框架,用于业务构建基于流式的数据分析、建模和应用。 受影响版本中,由于 MySQLSensitiveUrlUtils…

    漏洞 2024年5月10日
    0
  • Apache Submarine SQL 注入漏洞 (CVE-2023-37924)

    漏洞类型 SQL注入 发现时间 2023-11-22 漏洞等级 严重 MPS编号 MPS-ajf4-uzhd CVE编号 CVE-2023-37924 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Submarine是一个端到端的机器学习平台,允许数据科学家创建完整的机器学习工作流程,涵盖数据探索、数据管道创建、模型训练、服务以及监控的每个阶段。…

    2023年11月23日
    0
  • Spring Security AuthenticatedVoter 方法验证不当漏洞 (CVE-2024-22257)

    漏洞类型 访问控制不当 发现时间 2024-03-18 漏洞等级 高危 MPS编号 MPS-ucl7-dyox CVE编号 CVE-2024-22257 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Security 是基于Spring应用程序的认证和访问控制框架 Spring Security在处理Authentication参数时没有对nul…

    2024年3月25日
    0
  • Google Chrome<120.0.6099.199 存在堆缓冲区溢出漏洞 (CVE-2024-0223)

    漏洞类型 堆缓冲区溢出 发现时间 2024-01-04 漏洞等级 高危 MPS编号 MPS-0xpr-q1kb CVE编号 CVE-2024-0223 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器。ANGLE 是 Google Chrome 中用于提供图形API的库,包括 OpenGL ES …

    2024年1月5日
    0