CVE发现了一个漏洞,它允许恶意的未经认证的客户端在broker上分配大量的内存。这将使broker导致OutOfMemoryException并拒绝服务。
受影响的版本 | 2.8.0 - 2.8.1, 3.0.0 - 3.0.1, 3.1.0 - 3.1.1, 3.2.0 - 3.2.1 |
---|---|
已修复的版本 | 2.8.2, 3.0.2, 3.1.2, 3.2.3 |
影响 | 攻击者可以在broker上造成OutOfMemoryError的场景示例 - Kafka集群没有认证。任何能够与broker建立网络连接的客户都可以触发这个问题。 - 具有SASL认证的Kafka集群。任何能够与broker建立网络连接的客户端,不需要有效的SASL凭证,都可以触发这个问题。 - 带有TLS认证的Kafka集群。只有能够通过TLS成功认证的客户端才能触发这个问题。 |
问题发布时间 | 2022年9月19号 |