漏洞类型	反序列化	发现时间	2023-08-24	漏洞等级	中危
MPS编号	MPS-fed8-ocuv	CVE编号	CVE-2023-34040	漏洞影响广度	小

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

2.2 Spring Security Advisories 平台影响范围和处置方案

3 排查方式

漏洞危害

OSCS 描述

Spring Kafka 是 Spring Framework 生态系统中的一个模块，用于简化在 Spring 应用程序中集成 Apache Kafka 的过程，记录(record)指 Kafka 消息中的一条记录。
受影响版本中默认未对记录配置 ErrorHandlingDeserializer，当用户将容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true(默认未false)，并且允许不受信任的源发布到 Kafka 主题中时，攻击者可将恶意 payload 注入到 Kafka 主题中，当反序列化记录头时远程执行任意代码。
参考链接：https://www.oscs1024.com/hd/MPS-fed8-ocuv

Spring Security Advisories 描述

在 Apache Kafka 3.0.9 及更早版本以及 2.9.10 及更早版本的 Spring 中，存在可能的反序列化攻击向量，但前提是应用了异常配置。攻击者必须在反序列化异常记录标头之一中构造恶意序列化对象。
参考链接：https://spring.io/security/cve-2023-34040

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
org.springframework.kafka:spring-kafka [2.8.1, 2.9.11)	更新	升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本
	缓解措施	为记录的键或值配置 ErrorHandlingDeserializer；不使用 ErrorHandlingDeserializers 时，勿设置容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true
	补丁	官方已发布补丁：https://github.com/spring-projects/spring-kafka/commit/ddd1a96561e70599d8332b0907ec00df930d324b
org.springframework.kafka:spring-kafka [3.0.0, 3.0.10)	更新	升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本
参考链接：https://www.oscs1024.com/hd/MPS-fed8-ocuv

Spring Security Advisories 平台影响范围和处置方案

影响范围	处置方式	处置方法
Spring for Apache Kafka 2.8.1 to 2.9.10	更新	升级 Spring for Apache Kafka 到2.9.11或更高版本
Spring for Apache Kafka 2.8.1 to 2.9.10	缓解措施	2.8.x and 2.9.x users should upgrade to 2.9.11
Spring for Apache Kafka 3.0.0 to 3.0.9	更新	升级 Spring for Apache Kafka 到3.0.10
Spring for Apache Kafka 3.0.0 to 3.0.9	缓解措施	3.0.x users should upgrade to 3.0.10
参考链接：https://spring.io/security/cve-2023-34040

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-fed8-ocuv

https://nvd.nist.gov/vuln/detail/CVE-2023-34040

https://github.com/spring-projects/spring-kafka/commit/ddd1a96561e70599d8332b0907ec00df930d324b

https://spring.io/security/cve-2023-34040

https://github.com/spring-projects/spring-kafka/pull/2756

Spring Kafka 反序列化漏洞 (CVE-2023-34040)

漏洞危害

影响范围及处置方案

OSCS 平台影响范围和处置方案

Spring Security Advisories 平台影响范围和处置方案

排查方式

相关推荐

OpenSSH <9.6 命令注入漏洞 (CVE-2023-51385)

easy-rules-mvel<=4.1.0 远程代码执行漏洞 (CVE-2023-50571)

Redis Labs Redis 安全漏洞 (CVE-2023-45145)

Apache Submarine 存在反序列化漏洞 (CVE-2023-46302)

Splunk Enterprise XSLT 远程代码执行漏洞 (CVE-2023-46214)