【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)

开源生态安全OSCS2023-08-31 15:28

zhi.oscs1024.com

|------------------------------------------------------------------|----------------------------------------------------------------------------|-----------|--------------------------------------------------------------------------------|------------|----|
| 漏洞类型 | 反序列化 | 发现时间 | 2023-08-24 | 漏洞等级 | 中危 |
| MPS编号 | MPS-fed8-ocuv | CVE编号 | CVE-2023-34040 | 漏洞影响广度 | 小 |

漏洞危害

|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| OSCS 描述 |
| Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录(record)指 Kafka 消息中的一条记录。 受影响版本中默认未对记录配置 ErrorHandlingDeserializer,当用户将容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true(默认未false),并且允许不受信任的源发布到 Kafka 主题中时,攻击者可将恶意 payload 注入到 Kafka 主题中,当反序列化记录头时远程执行任意代码。 参考链接:https://www.oscs1024.com/hd/MPS-fed8-ocuv |

|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| Spring Security Advisories 描述 |
| 在 Apache Kafka 3.0.9 及更早版本以及 2.9.10 及更早版本的 Spring 中,存在可能的反序列化攻击向量,但前提是应用了异常配置。攻击者必须在反序列化异常记录标头之一中构造恶意序列化对象。 参考链接:https://spring.io/security/cve-2023-34040 |

影响范围及处置方案

OSCS 平台影响范围和处置方案

|---------------------------------------------------------|------|--------------------------------------------------------------------------------------------------------------------------------------------|
| 影响范围 | 处置方式 | 处置方法 |
| org.springframework.kafka:spring-kafka [2.8.1, 2.9.11) | 更新 | 升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本 |
| org.springframework.kafka:spring-kafka [2.8.1, 2.9.11) | 缓解措施 | 为记录的键或值配置 ErrorHandlingDeserializer; 不使用 ErrorHandlingDeserializers 时,勿设置容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true |
| org.springframework.kafka:spring-kafka [2.8.1, 2.9.11) | 补丁 | 官方已发布补丁:https://github.com/spring-projects/spring-kafka/commit/ddd1a96561e70599d8332b0907ec00df930d324b |
| org.springframework.kafka:spring-kafka [3.0.0, 3.0.10) | 更新 | 升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本 |
| 参考链接: https://www.oscs1024.com/hd/MPS-fed8-ocuv |||

Spring Security Advisories 平台影响范围和处置方案

|-----------------------------------------|------|------------------------------------------------|
| 影响范围 | 处置方式 | 处置方法 |
| Spring for Apache Kafka 2.8.1 to 2.9.10 | 更新 | 升级 Spring for Apache Kafka 到2.9.11或更高版本 |
| Spring for Apache Kafka 2.8.1 to 2.9.10 | 缓解措施 | 2.8.x and 2.9.x users should upgrade to 2.9.11 |
| Spring for Apache Kafka 3.0.0 to 3.0.9 | 更新 | 升级 Spring for Apache Kafka 到3.0.10 |
| Spring for Apache Kafka 3.0.0 to 3.0.9 | 缓解措施 | 3.0.x users should upgrade to 3.0.10 |
| 参考链接: https://spring.io/security/cve-2023-34040 |||

排查方式

|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 方式1:使用漏洞检测CLI工具来排查 使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查 使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查 使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式: https://www.murphysec.com/docs/faqs/integration/ |

关于墨知

墨知是国内首个专注软件供应链安全领域的技术社区,社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容,包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析(SCA)、开源许可证合规等前沿技术及最佳实践。

墨知主要内容分类:

  1. 漏洞分析:漏洞_墨知 (oscs1024.com)
  2. 投毒分析:投毒分析_墨知 (oscs1024.com)
  3. 行业动态:行业动态_墨知 (oscs1024.com)
  4. 行业研究:行业研究_墨知 (oscs1024.com)
  5. 工具推荐:工具推荐_墨知 (oscs1024.com)
  6. 最佳实践:最佳实践_墨知 (oscs1024.com)
  7. 技术科普:技术科普_墨知 (oscs1024.com)

墨知通过促进知识共享、技术研究和合作交流,帮助组织和个人提高软件供应链的安全性,减少供应链攻击的风险,并保护软件生态系统的整体安全。

进入社区:https://zhi.oscs1024.com/

原文来自:https://zhi.oscs1024.com/5170.html

相关推荐
johnrui6 分钟前
springboot接口限流操作
java·spring boot·后端
特别关注外国供应商8 分钟前
使用 Trellix 解决方案,构建跨 IT/OT 基础架构的安全连续性
网络安全·数据安全·it安全·网络威胁·恶意软件分析·trellix·ot安全
Flittly15 分钟前
【SpringAIAlibaba新手村系列】(9)Text to Image 文本生成图像技术
java·spring boot·agent
Flittly17 分钟前
【SpringAIAlibaba新手村系列】(10)Text to Voice 文本转语音技术
java·spring boot·agent
Xudde.18 分钟前
班级作业笔记报告0x05
笔记·学习·安全·web安全
123过去19 分钟前
fcrackzip使用教程
linux·网络·测试工具·安全
诸葛大钢铁20 分钟前
Java实现Excel文件合并
java·windows·excel
黎明丶之前23 分钟前
Spring Cloud Gateway 升级与 Bucket4j 限流实践
java·spring cloud
星幻元宇VR27 分钟前
VR科普单车|提升青少年交通安全意识的新工具
科技·学习·安全·生活·vr
程序员木圭28 分钟前
05-告别逻辑混乱!Java 流程控制让代码学会"判断和循环"
java·后端
热门推荐
01GitHub 镜像站点022026年3月AI领域大事件:DeepSeek引领开源风暴03Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05UV安装并设置国内源06让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南07AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南08Mac 本地部署 OMLX + 通义千问 Qwen3.5-27B 保姆级教程09如何解决 OpenClaw “Pairing required” 报错:两种官方解决方案详解10深扒 Claude Code Buddy 模式:一只仙人掌背后的确定性随机算法