Vulnerabilidad CVE de Apache Kafka de Apache Software Foundation. Lista CVE de errores Apache Kafka de Apache Software Foundation.
7 de febrero del 2023
CVE-2023-25194: Se ha identificado una posible vulnerabilidad de seguridad en Apache Kafka Connect. Esto requiere acceso a un trabajador de Kafka Connect y la capacidad de crear/modificar conectores en él con una configuración arbitraria de SASL JAAS de cliente de Kafka y un protocolo de seguridad basado en SASL, lo que ha sido posible en los clústeres de Kafka Connect desde Apache Kafka 2.3.0.
Al configurar el conector a través de la API REST de Kafka Connect, un operador autenticado puede establecer la propiedad `sasl.jaas.config` para cualquiera de los clientes Kafka del conector en "com.sun.security.auth.module.JndiLoginModule", que puede ser hecho a través de las propiedades `producer.override.sasl.jaas.config`, `consumer.override.sasl.jaas.config` o `admin.override.sasl.jaas.config`.
Esto permitirá que el servidor se conecte al servidor LDAP del atacante y deserialice la respuesta LDAP, que el atacante puede usar para ejecutar cadenas de dispositivos de deserialización de Java en el servidor de conexión de Kafka.
El atacante puede provocar la deserialización sin restricciones de los datos que no son de confianza (o) la vulnerabilidad RCE cuando hay dispositivos en el classpath. Desde Apache Kafka 3.0.0, los usuarios pueden especificar estas propiedades en configuraciones de conector para clústeres de Kafka Connect que se ejecutan con configuraciones listas para usar.
Antes de Apache Kafka 3.0.0, los usuarios no pueden especificar estas propiedades a menos que el clúster de Kafka Connect se haya reconfigurado con una política de anulación del cliente del conector que las permita. Desde Apache Kafka 3.4.0, agregamos una propiedad del sistema ("-Dorg.apache.kafka.disallowed.login.modules") para deshabilitar el uso problemático de los módulos de inicio de sesión en la configuración de SASL JAAS.
También por defecto "com.sun.security.auth.module.JndiLoginModule" está deshabilitado en Apache Kafka 3.4.0. Aconsejamos a los usuarios de Kafka Connect que validen las configuraciones del conector y solo permitan configuraciones JNDI de confianza.
También examine las dependencias de los conectores en busca de versiones vulnerables y actualice sus conectores, actualice esa dependencia específica o elimine los conectores como opciones para la reparación. Finalmente, además de aprovechar la propiedad del sistema "org.apache.kafka.disallowed.login.modules", los usuarios de Kafka Connect también pueden implementar su propia política de anulación de la configuración del cliente del conector, que se puede usar para controlar qué propiedades del cliente de Kafka se pueden anular. directamente en una configuración de conector y cuáles no.
Paginas de referencia
- CVE-2023-25194
https://lists.apache.org/thread/vy1c7fqcdqvq5grcqp6q5jyyb302khyz
Otras referencias sobre vulnerabilidades CVE
- Cryptography
- Ravencoin Core
- OpenKM
- Mayan Edms
- Logicaldoc Enterprise
- Interactive Geo Maps
- Invoiceplane
- Sourcecodester oretnom23
- Microchip Technology NRF5340 dk dt100112
- Microchip RN4870
- Onedev
- Wicked folders
- Weblabyrinth
- sds 3008 series industrial ethernet switch
- Terramaster NAS
- Wallet cpp en dogecoin project dogecoin core
- Schlix web inc schlix cms
- Exactmetrics
- mt6879 mt6895 mt6983
¿Quieres encontrar más vulnerabilidades?.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-02-10. Fecha publicación el 2023-02-10. Autor: Oscar olg Mapa del sitio Fuente: cve report