【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)
💡
原文中文,约2500字,阅读约需6分钟。
📝
内容提要
Spring Kafka存在反序列化漏洞,攻击者可通过恶意payload注入Kafka主题,远程执行任意代码。解决方法为更新升级Spring Kafka到2.9.11、3.0.10或更高版本,或配置ErrorHandlingDeserializer。Spring Security Advisories也存在类似漏洞,需升级到2.9.11或3.0.10及更高版本。
🎯
关键要点
- Spring Kafka存在反序列化漏洞,攻击者可通过恶意payload注入Kafka主题,远程执行任意代码。
- 解决方法为更新升级Spring Kafka到2.9.11、3.0.10或更高版本,或配置ErrorHandlingDeserializer。
- Spring Security Advisories也存在类似漏洞,需升级到2.9.11或3.0.10及更高版本。
- 漏洞发现时间为2023-08-24,漏洞等级为中危,CVE编号为CVE-2023-34040。
- 受影响版本中默认未对记录配置ErrorHandlingDeserializer,攻击者可利用此漏洞。
- 建议用户勿将容器属性checkDeserExWhenKeyNull或checkDeserExWhenValueNull设置为true。
- 提供了多种排查方式,包括使用CLI工具、IDEA插件和接入GitLab进行漏洞检测。
- 墨知是专注软件供应链安全的技术社区,致力于提供相关专业知识和最佳实践。
➡️
