关键信息 漏洞描述 漏洞编号: CVE-2024-31141 受影响的版本: - Apache Kafka Clients 2.3.0 through 3.5.2 - Apache Kafka Clients 3.6.0 through 3.6.2 - Apache Kafka Clients 3.7.0 through 3.7.1 漏洞影响 描述: Apache Kafka Clients接受配置数据以定制行为,并包含ConfigProvider插件以操纵这些配置。Apache Kafka还提供了FileConfigProvider、DirectoryConfigProvider和EnvVarConfigProvider实现,这些实现包括从磁盘或环境变量读取的能力。 影响: 在Apache Kafka Clients配置可以由不信任的第三方指定的应用程序中,攻击者可以使用这些ConfigProvider读取磁盘和环境变量的任意内容。 修复建议 受影响的应用程序建议升级kafka-clients到版本>=3.8.0,并设置JVM系统属性"org.apache.kafka.automatic.config.providers=none"。 Kafka Connect用户建议在他们的worker config中添加适当的"allowlist.pattern"和"allowed.paths"来限制操作的边界。 信任环境 对于信任磁盘和环境变量访问的Kafka Clients或Kafka Connect用户,不建议设置系统属性。 对于Kafka Broker、Kafka MirrorMaker 2.0、Kafka Streams和Kafka命令行工具的用户,不建议设置系统属性。 信用 发现者: Greg Harris 修复审查: Mickael Maison和Chris Egerton 参考链接 Apache Kafka官方页面 CVE-2024-31141