漏洞預警|Apache Kafka 拒絕服務漏洞

近日網上有關於開源專案Apache Kafka 拒絕服務漏洞，稜鏡七彩威脅情報團隊第一時間探測到，經分析研判，向全社會發起開源漏洞預警公告，提醒相關安全團隊及時響應。

專案介紹

Apache Kafka是一個高度可擴充套件的分散式訊息佇列。

專案主頁

https://kafka.apache.org/

程式碼託管地址

https://github.com/apache/kafka

CVE編號

CVE-2022-34917

漏洞情況

Apache Kafka是一個高度可擴充套件的分散式訊息佇列。

在Apache Kafka受影響版本中，允許未經身份驗證的惡意客戶端在Broker上分配大量記憶體，這可能導致Broker記憶體不足進而導致拒絕服務。

攻擊場景：

• 沒有身份驗證的Kafka叢集：任何能夠與Broker建立網路連線的客戶端都可能引發該問題。

• 具有SASL身份驗證的Kafka叢集：任何能夠與Broker建立網路連線而無需有效SASL憑據的客戶端都可以觸發問題。

• 具有TLS身份驗證的Kafka叢集：只有能夠通過TLS成功身份驗證的客戶端才能觸發問題。

受影響的版本

org.apache.kafka: [email protected] [3.1.0, 3.1.2)

org.apache.kafka: [email protected] [3.2.0, 3.2.3)

org.apache.kafka: [email protected] [3.2.0, 3.2.3)

org.apache.kafka: [email protected] [3.1.0, 3.1.2)

org.apache.kafka: [email protected] [3.0.0, 3.0.2)

org.apache.kafka: [email protected] [2.8.0, 2.8.2)

org.apache.kafka: [email protected] [3.0.0, 3.0.2)

org.apache.kafka: [email protected] [2.8.0, 2.8.2)

修復方案

升級org.apache.kafka:kafka_2.13到 2.8.2 或 3.0.2 或 3.1.2 或 3.2.3 或更高版本

升級org.apache.kafka:kafka_2.12到 2.8.2 或 3.0.2 或 3.1.2 或 3.2.3 或更高版本

連結地址：

https://kafka.apache.org/cve-list

https://www.openwall.com/lists/oss-security/2022/09/19/3

https://nvd.nist.gov/vuln/detail/CVE-2022-34917

如若轉載，請註明原文地址