【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)

开源生态安全OSCS2023-08-31 15:28

zhi.oscs1024.com

|------------------------------------------------------------------|----------------------------------------------------------------------------|-----------|--------------------------------------------------------------------------------|------------|----|
| 漏洞类型 | 反序列化 | 发现时间 | 2023-08-24 | 漏洞等级 | 中危 |
| MPS编号 | MPS-fed8-ocuv | CVE编号 | CVE-2023-34040 | 漏洞影响广度 | 小 |

漏洞危害

|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| OSCS 描述 |
| Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录(record)指 Kafka 消息中的一条记录。 受影响版本中默认未对记录配置 ErrorHandlingDeserializer,当用户将容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true(默认未false),并且允许不受信任的源发布到 Kafka 主题中时,攻击者可将恶意 payload 注入到 Kafka 主题中,当反序列化记录头时远程执行任意代码。 参考链接:https://www.oscs1024.com/hd/MPS-fed8-ocuv |

|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| Spring Security Advisories 描述 |
| 在 Apache Kafka 3.0.9 及更早版本以及 2.9.10 及更早版本的 Spring 中,存在可能的反序列化攻击向量,但前提是应用了异常配置。攻击者必须在反序列化异常记录标头之一中构造恶意序列化对象。 参考链接:https://spring.io/security/cve-2023-34040 |

影响范围及处置方案

OSCS 平台影响范围和处置方案

|---------------------------------------------------------|------|--------------------------------------------------------------------------------------------------------------------------------------------|
| 影响范围 | 处置方式 | 处置方法 |
| org.springframework.kafka:spring-kafka [2.8.1, 2.9.11) | 更新 | 升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本 |
| org.springframework.kafka:spring-kafka [2.8.1, 2.9.11) | 缓解措施 | 为记录的键或值配置 ErrorHandlingDeserializer; 不使用 ErrorHandlingDeserializers 时,勿设置容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true |
| org.springframework.kafka:spring-kafka [2.8.1, 2.9.11) | 补丁 | 官方已发布补丁:https://github.com/spring-projects/spring-kafka/commit/ddd1a96561e70599d8332b0907ec00df930d324b |
| org.springframework.kafka:spring-kafka [3.0.0, 3.0.10) | 更新 | 升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本 |
| 参考链接: https://www.oscs1024.com/hd/MPS-fed8-ocuv |||

Spring Security Advisories 平台影响范围和处置方案

|-----------------------------------------|------|------------------------------------------------|
| 影响范围 | 处置方式 | 处置方法 |
| Spring for Apache Kafka 2.8.1 to 2.9.10 | 更新 | 升级 Spring for Apache Kafka 到2.9.11或更高版本 |
| Spring for Apache Kafka 2.8.1 to 2.9.10 | 缓解措施 | 2.8.x and 2.9.x users should upgrade to 2.9.11 |
| Spring for Apache Kafka 3.0.0 to 3.0.9 | 更新 | 升级 Spring for Apache Kafka 到3.0.10 |
| Spring for Apache Kafka 3.0.0 to 3.0.9 | 缓解措施 | 3.0.x users should upgrade to 3.0.10 |
| 参考链接: https://spring.io/security/cve-2023-34040 |||

排查方式

|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 方式1:使用漏洞检测CLI工具来排查 使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查 使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查 使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式: https://www.murphysec.com/docs/faqs/integration/ |

关于墨知

墨知是国内首个专注软件供应链安全领域的技术社区,社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容,包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析(SCA)、开源许可证合规等前沿技术及最佳实践。

墨知主要内容分类:

  1. 漏洞分析:漏洞_墨知 (oscs1024.com)
  2. 投毒分析:投毒分析_墨知 (oscs1024.com)
  3. 行业动态:行业动态_墨知 (oscs1024.com)
  4. 行业研究:行业研究_墨知 (oscs1024.com)
  5. 工具推荐:工具推荐_墨知 (oscs1024.com)
  6. 最佳实践:最佳实践_墨知 (oscs1024.com)
  7. 技术科普:技术科普_墨知 (oscs1024.com)

墨知通过促进知识共享、技术研究和合作交流,帮助组织和个人提高软件供应链的安全性,减少供应链攻击的风险,并保护软件生态系统的整体安全。

进入社区:https://zhi.oscs1024.com/

原文来自:https://zhi.oscs1024.com/5170.html

相关推荐
醒了就刷牙18 分钟前
黑马Java面试教程_P9_MySQL
java·mysql·面试
m0_7482336424 分钟前
SQL数组常用函数记录(Map篇)
java·数据库·sql
编程爱好者熊浪1 小时前
JAVA HTTP压缩数据
java
吴冰_hogan1 小时前
JVM(Java虚拟机)的组成部分详解
java·开发语言·jvm
老猿讲编程1 小时前
整车厂如何规划构建汽车集成安全团队的软件研发能力
安全·汽车
白宇横流学长2 小时前
基于java出租车计价器设计与实现【源码+文档+部署讲解】
java·开发语言
黑客老陈3 小时前
面试经验分享 | 北京渗透测试岗位
运维·服务器·经验分享·安全·web安全·面试·职场和发展
数据小爬虫@4 小时前
Java爬虫实战:深度解析Lazada商品详情
java·开发语言
咕德猫宁丶4 小时前
探秘Xss:原理、类型与防范全解析
java·网络·xss
F-2H6 小时前
C语言:指针4(常量指针和指针常量及动态内存分配)
java·linux·c语言·开发语言·前端·c++
热门推荐
0119个Web前端交互式3D JavaScript框架和库02ARM学习(31)编译器对overlay方式的支持03玄机平台应急响应—webshell查杀04RAG 实践- Ollama+RagFlow 部署本地知识库05【一文读懂】NTN(非地面网络)技术介绍06(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明07ZZ038 物联网应用与服务赛题第J套08组基轨迹建模 GBTM的介绍与实现(Stata 或 R)09Docker 夺命连环 15 问10VSCode插件 —— Cody AI (免费AI助手!)