安全通告

Apache Kafka Connect远程代码执行漏洞预警通告

发布日期：2023-2-21

漏洞描述

2023年2月21日公司监测到Apache官方发布了Apache Kafka Connect远程代码执行漏洞风险通告。Apache Kafka是一个分布式数据流处理平台，可以实时发布、订阅、存储和处理数据流。Kafka Connect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。攻击者可以利用基于SASLJAAS 配置和SASL 协议的任意Kafka客户端，对Kafka Connect worker 创建或修改连接器时，通过构造特殊的配置，进行JNDI 注入来实现远程代码执行。

漏洞编号

CVE-2023-25194

漏洞危害

攻击者可以利用基于SASLJAAS 配置和SASL 协议的任意Kafka客户端，对Kafka Connect worker 创建或修改连接器时，通过构造特殊的配置，进行JNDI 注入来实现远程代码执行。

漏洞等级

严重
受影响版本

2.3.0<=Apache Kafka<=3.3.2

修复方案

目前官方已发布安全修复版本，建议广大用户通过以下链接及时将Apache Kafka更新到3.4.0版本。

https://kafka.apache.org/downloads

参考链接

https://kafka.apache.org/documentation.html#connect