- 1分布式ID生成方案之雪花算法
- 2【代码随想录训练营】【Day 62】【单调栈-1】| Leetcode 739, 496, 503
- 3QT 使用ffmpeg播放音视频文件/网络资源_音视频qt
- 4Whisper对于中文语音识别与转写中文文本优化的实践(Python3.10)_whisper中文识别
- 5卷积神经网络(CNN)卷积神经网络(CNN)核心知识点汇总_cnnhu
- 6论文查重有AI辅写疑似度?七个技巧助你轻松应对!_怎么减少ai辅写率
- 7硬件基础:数字电路概述与基础门电路_传输门csdn
- 8使用 pip 安装 TensorFlow教程_pip tensorflow
- 9【datawhale-gitmodel】以波士顿房价数据进行数据分析和数据可视化_波士顿房价可视化分析
- 10已解决:在Python使用中numpy包版本与scipy版本不兼容的问题_a numpy version >=1.18.5 and <1.25.0 is required f
漏洞预警|Apache Kafka Connect JNDI注入漏洞_kafka-clients 2.3.0 漏洞
赞
踩
棱镜七彩安全预警
近日网上有关于开源项目Apache Kafka Connect JNDI注入漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Karaf是Apache旗下的一个开源项目。Karaf同时也是一个基于OSGi的运行环境,Karaf提供了一个轻量级的OSGi容器,可以用于部署各种组件,应用程序。Karaf提供了很多特性用于帮助开发者和用户更加灵活的部署应用,例如:热部署、动态配置、几种日志处理系统、本地系统集成、可编程扩展控制台、ssh远程访问、内置安装认证机制等等。同时Karaf作为一款成熟而且优秀的OSGi运行环境以及容器已经被诸多Apache项目作为基础容器,例如:Apache Geronimo, ApacheServiceMix,Fuse ESB,由此可见Karaf在性能,功能和稳定性上都是个不错的选择。
项目主页
https://karaf.apache.org/
代码托管地址
https://github.com/apache/karaf/
CVE编号
CVE-2023-25194
漏洞情况
Kafka 是 Apache 软件基金会的一种分布式的、基于发布/订阅的消息系统,可以处理消费者在网站中的所有动作流数据。Kafka Connect 是一种工具,用于在 Apache Kafka 和其他数据系统之间以可扩展且可靠的方式传输数据。
Kafka 2.3.0 至 3.3.2 版本中,攻击者可通过将 Connect 的任意 Kafka 客户端的 sasl.jaas.config 属性设置为 可通过创建或修改客户端配置,进行 JNDI 注入攻击 0day 相关漏洞情报,攻击者可以使用基于 SASL JAAS 配置和 SASL 协议的任意 Kafka 客户端,在对 Kafka Connect worker 创建或修改连接器时,通过构造特殊的配置,进行 JNDI 注入。
受影响的版本
org.apache.kafka:kafka-clients@[2.3.0, 3.4.0)
修复方案
将组件 org.apache.kafka:kafka-clients 升级至 3.4.0 及以上版本
