漏洞预警|Apache Kafka Connect JNDI注入漏洞 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

漏洞预警|Apache Kafka Connect JNDI注入漏洞

棱镜七彩 行业 2023-02-16 11:01:18
70496
收藏

导语:近日网上有关于开源项目Apache Kafka Connect JNDI注入漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

棱镜七彩安全预警

近日网上有关于开源项目Apache Kafka Connect  JNDI注入漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Karaf是Apache旗下的一个开源项目。Karaf同时也是一个基于OSGi的运行环境,Karaf提供了一个轻量级的OSGi容器,可以用于部署各种组件,应用程序。Karaf提供了很多特性用于帮助开发者和用户更加灵活的部署应用,例如:热部署、动态配置、几种日志处理系统、本地系统集成、可编程扩展控制台、ssh远程访问、内置安装认证机制等等。同时Karaf作为一款成熟而且优秀的OSGi运行环境以及容器已经被诸多Apache项目作为基础容器,例如:Apache Geronimo, ApacheServiceMix,Fuse ESB,由此可见Karaf在性能,功能和稳定性上都是个不错的选择。

项目主页

https://karaf.apache.org/

代码托管地址

https://github.com/apache/karaf/

CVE编号

CVE-2023-25194

漏洞情况

Kafka 是 Apache 软件基金会的一种分布式的、基于发布/订阅的消息系统,可以处理消费者在网站中的所有动作流数据。Kafka Connect 是一种工具,用于在 Apache Kafka 和其他数据系统之间以可扩展且可靠的方式传输数据。

Kafka 2.3.0 至 3.3.2 版本中,攻击者可通过将 Connect 的任意 Kafka 客户端的 sasl.jaas.config 属性设置为 可通过创建或修改客户端配置,进行 JNDI 注入攻击 0day 相关漏洞情报,攻击者可以使用基于 SASL JAAS 配置和 SASL 协议的任意 Kafka 客户端,在对 Kafka Connect worker 创建或修改连接器时,通过构造特殊的配置,进行 JNDI 注入。

受影响的版本

org.apache.kafka:kafka-clients@[2.3.0, 3.4.0)

修复方案

将组件 org.apache.kafka:kafka-clients 升级至 3.4.0 及以上版本

链接地址:

https://nvd.nist.gov/vuln/detail/CVE-2023-25194

https://kafka.apache.org/cve-list

https://hackerone.com/reports/1529790

https://github.com/apache/kafka/commit/a3cf8b54e03c60f92f3db5e62a45c2751306f0f3

查看更多安全漏洞:快速查询安全漏洞 | 柒巧板

如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务