漏洞预警|Apache Kafka 拒绝服务漏洞
近日网上有关于开源项目Apache Kafka 拒绝服务漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Apache Kafka是一个高度可扩展的分布式消息队列。
项目主页
代码托管地址
http://github.com/apache/kafka
CVE编号
CVE-2022-34917
漏洞情况
Apache Kafka是一个高度可扩展的分布式消息队列。
在Apache Kafka受影响版本中,允许未经身份验证的恶意客户端在Broker上分配大量内存,这可能导致Broker内存不足进而导致拒绝服务。
攻击场景:
-
没有身份验证的Kafka集群:任何能够与Broker建立网络连接的客户端都可能引发该问题。
-
具有SASL身份验证的Kafka集群:任何能够与Broker建立网络连接而无需有效SASL凭据的客户端都可以触发问题。
-
具有TLS身份验证的Kafka集群:只有能够通过TLS成功身份验证的客户端才能触发问题。
受影响的版本
org.apache.kafka: [email protected] [3.1.0, 3.1.2)
org.apache.kafka: [email protected] [3.2.0, 3.2.3)
org.apache.kafka: [email protected] [3.2.0, 3.2.3)
org.apache.kafka: [email protected] [3.1.0, 3.1.2)
org.apache.kafka: [email protected] [3.0.0, 3.0.2)
org.apache.kafka: [email protected] [2.8.0, 2.8.2)
org.apache.kafka: [email protected] [3.0.0, 3.0.2)
org.apache.kafka: [email protected] [2.8.0, 2.8.2)
修复方案
升级org.apache.kafka:kafka_2.13到 2.8.2 或 3.0.2 或 3.1.2 或 3.2.3 或更高版本
升级org.apache.kafka:kafka_2.12到 2.8.2 或 3.0.2 或 3.1.2 或 3.2.3 或更高版本
链接地址:
http://kafka.apache.org/cve-list
http://www.openwall.com/lists/oss-security/2022/09/19/3
http://nvd.nist.gov/vuln/detail/CVE-2022-34917
如若转载,请注明原文地址
- 最新CS RCE曲折的复现路
- 白描终于出 Win 版了!超火的图片转文字工具九月特惠价 18 元起,终生免费更新
- 盛邦安全入选IDC TechScape中国数据安全发展路线图推荐厂商,为API安全治理提供新思路
- MiraclePtr UAF 漏洞利用缓解技术介绍
- 【技术原创】渗透基础——Exchange版本探测的优化
- “直播电商”带货场景分析
- 三成热门的PyPI软件包被误标为是恶意软件包
- Windows Server服务中的身份验证漏洞的安全风险
- XCon专访 | 百度安全部副总经理冯景辉:百度AI安全建设的两个核心要点
- Linux恶意软件兴起:保护开源软件(OSS)的9个技巧
- TeamTNT 的 DockerHub 凭据泄露漏洞
- 独立开发变现周刊(第73期) : 0美元营销预算创建年收入7.2万美元的产品交易市场
- EPUB Manga Creator – 把漫画图片打包成 EPUB 格式
- 漏洞预警|Apache Kafka 拒绝服务漏洞
- 权威研报:知道创宇抗DDoS产品居市场竞争力领导者象限
- 印象笔记竞品 Notesnook 正式开源
- 打造密码硬核技术 三未信安重磅推出全“芯”系列密码卡、密码机
- 嘶吼专访 | 融安网络创始人陈桂耀:创业是一条通往山顶的路,你只能上,不能下
- 某知名系统漏洞挖掘与利用思路探索
- 北信源持续领跑终端安全管理市场,累计15年位居中国终端安全管理市场占有率第一!