【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)

这篇具有很好参考价值的文章主要介绍了【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040),漏洞情报订阅,spring,kafka,java,安全,漏洞,网络安全
zhi.oscs1024.com​​​​​
漏洞类型 反序列化 发现时间 2023-08-24 漏洞等级 中危
MPS编号 MPS-fed8-ocuv CVE编号 CVE-2023-34040 漏洞影响广度

漏洞危害

OSCS 描述
Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录(record)指 Kafka 消息中的一条记录。
受影响版本中默认未对记录配置 ErrorHandlingDeserializer,当用户将容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true(默认未false),并且允许不受信任的源发布到 Kafka 主题中时,攻击者可将恶意 payload 注入到 Kafka 主题中,当反序列化记录头时远程执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-fed8-ocuv
Spring Security Advisories 描述
在 Apache Kafka 3.0.9 及更早版本以及 2.9.10 及更早版本的 Spring 中,存在可能的反序列化攻击向量,但前提是应用了异常配置。攻击者必须在反序列化异常记录标头之一中构造恶意序列化对象。
参考链接:https://spring.io/security/cve-2023-34040

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.springframework.kafka:spring-kafka [2.8.1, 2.9.11) 更新 升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本
缓解措施 为记录的键或值配置 ErrorHandlingDeserializer;
不使用 ErrorHandlingDeserializers 时,勿设置容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true
补丁 官方已发布补丁:https://github.com/spring-projects/spring-kafka/commit/ddd1a96561e70599d8332b0907ec00df930d324b
org.springframework.kafka:spring-kafka [3.0.0, 3.0.10) 更新 升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-fed8-ocuv

Spring Security Advisories 平台影响范围和处置方案

影响范围 处置方式 处置方法
Spring for Apache Kafka 2.8.1 to 2.9.10 更新 升级 Spring for Apache Kafka 到2.9.11或更高版本
缓解措施 2.8.x and 2.9.x users should upgrade to 2.9.11
Spring for Apache Kafka 3.0.0 to 3.0.9 更新 升级 Spring for Apache Kafka 到3.0.10
缓解措施 3.0.x users should upgrade to 3.0.10
参考链接:https://spring.io/security/cve-2023-34040

排查方式

方式1:使用漏洞检测CLI工具来排查

使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html

方式2:使用漏洞检测IDEA插件排查

使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3:接入GitLab进行漏洞检测排查

使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式:https://www.murphysec.com/docs/faqs/integration/

关于墨知

墨知是国内首个专注软件供应链安全领域的技术社区,社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容,包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析(SCA)、开源许可证合规等前沿技术及最佳实践。

墨知主要内容分类:

  1. 漏洞分析:漏洞_墨知 (oscs1024.com)
  2. 投毒分析:投毒分析_墨知 (oscs1024.com)
  3. 行业动态:行业动态_墨知 (oscs1024.com)
  4. 行业研究:行业研究_墨知 (oscs1024.com)
  5. 工具推荐:工具推荐_墨知 (oscs1024.com)
  6. 最佳实践:最佳实践_墨知 (oscs1024.com)
  7. 技术科普:技术科普_墨知 (oscs1024.com)

墨知通过促进知识共享、技术研究和合作交流,帮助组织和个人提高软件供应链的安全性,减少供应链攻击的风险,并保护软件生态系统的整体安全。

进入社区:https://zhi.oscs1024.com/

原文来自:https://zhi.oscs1024.com/5170.html文章来源地址https://www.toymoban.com/news/detail-672288.html

到了这里,关于【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • CVE-2023-34040 Kafka 反序列化RCE

    Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录 (record) 指 Kafka 消息中的一条记录。 受影响版本中默认未对记录配置  ErrorHandlingDeserializer ,当用户将容器属性  checkDeserExWhenKeyNull  或  checkDeserExWhenValueNull  设置为

    2024年02月05日
    浏览(46)
  • 【高危】Apache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195)

    zhi.oscs1024.com​​​​​ 漏洞类型 反序列化 发现时间 2023-08-29 漏洞等级 高危 MPS编号 MPS-qkdx-17bc CVE编号 CVE-2023-40195 漏洞影响广度 广 OSCS 描述 Apache Airflow Spark Provider是Apache Airflow项目的一个插件,用于在Airflow中管理和调度Apache Spark作业。 受影响版本中,由于没有对conn_prefix参

    2024年02月10日
    浏览(39)
  • 关于Apache Dubbo反序列化漏洞(CVE-2023-23638)的预警提示与对应的Zookeeper版本

            公司在升级dubbo过程中因 zookeeper版本不匹配,导致服务注册和调用出现异常 一、漏洞详情 Apache Dubbo是一款高性能、轻量级的开源Java服务框架。 Apache官方发布安全公告,修复了Apache Dubbo中的一个反序列化漏洞(CVE-2023-23638)。由于Apache Dubbo安全检查存在缺陷,导致可

    2024年02月15日
    浏览(39)
  • 【严重】VMware Aria Operations for Logs v8.10.2 存在反序列化漏洞(CVE-2023-20864)

    VMware Aria Operations for Logs前身是vRealize Log Insight,VMware用于处理和管理大规模的日志数据产品。 VMware Aria Operations for Logs 8.10.2版本中存在反序列化漏洞,具有 VMware Aria Operations for Logs 网络访问权限的未经身份验证的攻击者能够以 root 身份执行任意代码。 漏洞名称 VMware Aria Oper

    2024年02月01日
    浏览(69)
  • ActiveMQ 反序列化漏洞 (CVE-2015-5254)复现

    1、Apache ActiveMQ Apache ActiveMQ是Apache软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring Framework等。 2、漏洞产生原理 该组件程序造成的漏洞不限制代理中可以序列化的类。远程攻击者可以使一个特殊的序列化 Java 消息服务 (JMS) ObjectMessage 对象利用此漏

    2024年02月10日
    浏览(48)
  • Jboss(CVE-2017-12149)反序列化命令执行漏洞

    该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。 受影响系统及应用版本    Jboss AS 5.x、Jboss AS 6.x 环境搭建 使用vulhub靶场

    2024年02月15日
    浏览(42)
  • WebLogic反序列化漏洞复现+利用工具(CVE-2021-2394)

    Oracle官方发布了2021年7月份安全更新通告,通告中披露了WebLogic组件存在高危漏洞,攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。 这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的

    2024年02月06日
    浏览(96)
  • Jboss反序列化远程代码执行漏洞(CVE-2017-12149)

    :Jboss文件下的httplnvoker组件中的Readonly Accessfilter过滤器中的dofilter没有限制来自客户端的序列化数据而进行反序列化。 漏洞影响版本:Jboss5.x Jboss6.x 利用vulhub搭建Jboss cd vulhub cd jboss cd CVE-2017-12149 docker-compose build (若出现镜像问题,直接执行下面命令) docker-compose up -d 访问:h

    2024年02月07日
    浏览(53)
  • Tomcat Session(CVE-2020-9484)反序列化漏洞复现

            北京时间2020年05月20日,Apache官方发布了 Apache Tomcat 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-9484。 Apache Tomcat 是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用

    2024年02月01日
    浏览(46)
  • Jackson-databind 反序列化漏洞(CVE-2017-7525、CVE-2017-17485)

    Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特

    2024年02月13日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包