【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)

开源生态安全OSCS2023-08-31 15:28

zhi.oscs1024.com

|------------------------------------------------------------------|----------------------------------------------------------------------------|-----------|--------------------------------------------------------------------------------|------------|----|
| 漏洞类型 | 反序列化 | 发现时间 | 2023-08-24 | 漏洞等级 | 中危 |
| MPS编号 | MPS-fed8-ocuv | CVE编号 | CVE-2023-34040 | 漏洞影响广度 | 小 |

漏洞危害

|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| OSCS 描述 |
| Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录(record)指 Kafka 消息中的一条记录。 受影响版本中默认未对记录配置 ErrorHandlingDeserializer,当用户将容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true(默认未false),并且允许不受信任的源发布到 Kafka 主题中时,攻击者可将恶意 payload 注入到 Kafka 主题中,当反序列化记录头时远程执行任意代码。 参考链接:https://www.oscs1024.com/hd/MPS-fed8-ocuv |

|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| Spring Security Advisories 描述 |
| 在 Apache Kafka 3.0.9 及更早版本以及 2.9.10 及更早版本的 Spring 中,存在可能的反序列化攻击向量,但前提是应用了异常配置。攻击者必须在反序列化异常记录标头之一中构造恶意序列化对象。 参考链接:https://spring.io/security/cve-2023-34040 |

影响范围及处置方案

OSCS 平台影响范围和处置方案

|---------------------------------------------------------|------|--------------------------------------------------------------------------------------------------------------------------------------------|
| 影响范围 | 处置方式 | 处置方法 |
| org.springframework.kafka:spring-kafka [2.8.1, 2.9.11) | 更新 | 升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本 |
| org.springframework.kafka:spring-kafka [2.8.1, 2.9.11) | 缓解措施 | 为记录的键或值配置 ErrorHandlingDeserializer; 不使用 ErrorHandlingDeserializers 时,勿设置容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true |
| org.springframework.kafka:spring-kafka [2.8.1, 2.9.11) | 补丁 | 官方已发布补丁:https://github.com/spring-projects/spring-kafka/commit/ddd1a96561e70599d8332b0907ec00df930d324b |
| org.springframework.kafka:spring-kafka [3.0.0, 3.0.10) | 更新 | 升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本 |
| 参考链接: https://www.oscs1024.com/hd/MPS-fed8-ocuv |||

Spring Security Advisories 平台影响范围和处置方案

|-----------------------------------------|------|------------------------------------------------|
| 影响范围 | 处置方式 | 处置方法 |
| Spring for Apache Kafka 2.8.1 to 2.9.10 | 更新 | 升级 Spring for Apache Kafka 到2.9.11或更高版本 |
| Spring for Apache Kafka 2.8.1 to 2.9.10 | 缓解措施 | 2.8.x and 2.9.x users should upgrade to 2.9.11 |
| Spring for Apache Kafka 3.0.0 to 3.0.9 | 更新 | 升级 Spring for Apache Kafka 到3.0.10 |
| Spring for Apache Kafka 3.0.0 to 3.0.9 | 缓解措施 | 3.0.x users should upgrade to 3.0.10 |
| 参考链接: https://spring.io/security/cve-2023-34040 |||

排查方式

|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 方式1:使用漏洞检测CLI工具来排查 使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查 使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查 使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式: https://www.murphysec.com/docs/faqs/integration/ |

关于墨知

墨知是国内首个专注软件供应链安全领域的技术社区,社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容,包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析(SCA)、开源许可证合规等前沿技术及最佳实践。

墨知主要内容分类:

  1. 漏洞分析:漏洞_墨知 (oscs1024.com)
  2. 投毒分析:投毒分析_墨知 (oscs1024.com)
  3. 行业动态:行业动态_墨知 (oscs1024.com)
  4. 行业研究:行业研究_墨知 (oscs1024.com)
  5. 工具推荐:工具推荐_墨知 (oscs1024.com)
  6. 最佳实践:最佳实践_墨知 (oscs1024.com)
  7. 技术科普:技术科普_墨知 (oscs1024.com)

墨知通过促进知识共享、技术研究和合作交流,帮助组织和个人提高软件供应链的安全性,减少供应链攻击的风险,并保护软件生态系统的整体安全。

进入社区:https://zhi.oscs1024.com/

原文来自:https://zhi.oscs1024.com/5170.html

相关推荐
BillKu2 小时前
推荐 Eclipse Temurin 的 OpenJDK
java·ide·eclipse
Morri32 小时前
[Java恶补day53] 45. 跳跃游戏Ⅱ
java·算法·leetcode
悟能不能悟2 小时前
eclipse怎么把项目设为web
java·eclipse
乂爻yiyao2 小时前
java 代理模式实现
java·开发语言·代理模式
2301_770373732 小时前
Java集合
java·开发语言
哈喽姥爷2 小时前
Spring Boot---自动配置原理和自定义Starter
java·spring boot·后端·自定义starter·自动配置原理
嘉里蓝海3 小时前
我在嘉顺达蓝海的安全日常
安全
2301_780789663 小时前
渗透测试真的能发现系统漏洞吗
服务器·网络·安全·web安全·网络安全
嘉里蓝海3 小时前
我在嘉顺达蓝海的安全坚守
安全
老华带你飞4 小时前
考研论坛平台|考研论坛小程序系统|基于java和微信小程序的考研论坛平台小程序设计与实现(源码+数据库+文档)
java·vue.js·spring boot·考研·小程序·毕设·考研论坛平台小程序
热门推荐
01conda中设置镜像地址(附所有可换的地址)02UV安装并设置国内源03A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程04解决 WSL Ubuntu 中 /etc/resolv.conf 自动重置问题05UV 工具安装与国内镜像源配置指南06KGG转MP3工具|非KGM文件|解密音频07突破百度网盘的下载限速,两种方法教会你【超详细】08GitHub 镜像站点09教你如何认证 Gemini 教育优惠的二次验证,薅个 1年的 Gemini Pro 会员1046个Nano-banana 精选提示词,持续更新中