【漏洞通告】关于Apache Kafka Connect远程代码执行漏洞
发布日期:2023-02-21 阅读次数:
漏洞描述
2023 年 2 月 21 日,监测到 Apache 官方发布了 Apache Kafka Connect 远程代码执行漏洞风险通告。 Apache Kafka 是一个分布式数据流处理平台, 可以实时发布、 订阅、 存储和处理数据流。 Kafka Connect 是一种用于在 kafka 和其他系统之间可扩展、 可靠的流式传输数据的工具。 攻击者可以利用基于 SASLJAAS 配置和 SASL 协议的任意 Kafka 客户端, 对 Kafka Connect worker 创建或修改连接器时, 通过构造特殊的配置, 进行 JNDI 注入来实现远程代码执行。
漏洞编号
CVE-2023-25194
漏洞等级
严重
受影响版本
2.3.0<="Apache" Kafka<="3.3.2
修复方案
目前官方已发布安全修复版本, 建议及时将 Apache Kafka 更新到3.4.0 版本。