安全动态

行业动态

漏洞动态

联系方式

地址: 广州市越秀区东风东路750号广联大厦13楼1307-1309室
电话:18898400087

Spring-Kafka 反序列化漏洞

  • 漏洞编号:CVE-2023-34040
  • 漏洞类型:远程代码执行(RCE)
  • 漏洞等级:高危
  • 发布时间:2023-09-06

              

漏洞描述:

Spring for Apache Kafka(spring-kafka)项目是一个将Spring的核心概念应用于开发基于 Kafka 的消息传递解决方案。

Spring-Kafka 反序列化漏洞的利用代码在网上公开,当Spring-Kafka在使用了特定的配置时存在一个反序列化漏洞,漏洞编号:CVE-2023-34040,漏洞威胁等级:高危。

在 Spring for Apache Kafka 3.0.9及更早版本和 2.9.10及更早版本中,存在一种可能的反序列化攻击向量,但只有在应用了异常配置的情况下才会出现,默认情况下不受该漏洞影响。

 

影响版本:

2.8.1<=Spring-Kafka<=2.9.10

3.0.0<=Spring-Kafka<=3.0.9

 

 

修复建议

厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
Spring-Kafka 安全版本:

2.9.11

3.0.10

 

临时防护方案:

1. 不要在使用错误处理反序列化程序时,设置容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull为ture。

2. 禁止不受信任的来源向 Kafka 主题发布信息。


参考链接:
https://spring.io/security/cve-2023-34040

 
 

版权所有 © 2021 广州网安信息技术有限公司

粤ICP备2021096656号粤公网安备 44010402002568号