CVE-2022-34917漏洞,未经认证的客户端可能导致kafka broker出现OutOfMemoryError

半兽人 发表于: 2022-09-21   最后更新时间: 2022-09-21 08:38:44  
{{totalSubscript}} 订阅, 1,716 游览

CVE发现了一个漏洞,它允许恶意的未经认证的客户端在broker上分配大量的内存。这将使broker导致OutOfMemoryException并拒绝服务。

受影响的版本 2.8.0 - 2.8.1, 3.0.0 - 3.0.1, 3.1.0 - 3.1.1, 3.2.0 - 3.2.1
已修复的版本 2.8.2, 3.0.2, 3.1.2, 3.2.3
影响 攻击者可以在broker上造成OutOfMemoryError的场景示例
- Kafka集群没有认证。任何能够与broker建立网络连接的客户都可以触发这个问题。
- 具有SASL认证的Kafka集群。任何能够与broker建立网络连接的客户端,不需要有效的SASL凭证,都可以触发这个问题。
- 带有TLS认证的Kafka集群。只有能够通过TLS成功认证的客户端才能触发这个问题。
问题发布时间 2022年9月19号

相关链接

原文来自:https://kafka.apache.org/cve-list#CVE-2022-34917

更新于 2022-09-21

查看kafka更多相关的文章或提一个关于kafka的问题,也可以与我们一起分享文章