一、漏洞详情
apache kafka是一个开源分布式事件流平台。可以使用apache kafka connect在apache kafka和其他系统之间流式传输数据,connect使得快速定义kafka连接器变得非常简单,这些连接器可以将大量数据移入和移出kafka。
apache官方发布安全公告,修复了apache kafka connect中的一个远程代码执行漏洞(cve-2023-25194)。
在apache kafka 版本2.3.0 - 3.3.2中,能够访问kafka connect worker,并能够使用任意kafka客户端sasl jaas配置和基于sasl的安全协议在其上创建或修改连接器,导致恶意行为者可以发送jndi请求,造成拒绝服务或远程代码执行。
建议校园网用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
2.3.0 <= apache kafka版本 <= 3.3.2
三、修复建议
目前该漏洞已经修复,受影响用户可及时升级到apache kafka 版本3.4.0。
下载链接:https://kafka.apache.org/downloads
