【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)

开源生态安全OSCS2023-08-31 15:28

zhi.oscs1024.com

|------------------------------------------------------------------|----------------------------------------------------------------------------|-----------|--------------------------------------------------------------------------------|------------|----|
| 漏洞类型 | 反序列化 | 发现时间 | 2023-08-24 | 漏洞等级 | 中危 |
| MPS编号 | MPS-fed8-ocuv | CVE编号 | CVE-2023-34040 | 漏洞影响广度 | 小 |

漏洞危害

|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| OSCS 描述 |
| Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录(record)指 Kafka 消息中的一条记录。 受影响版本中默认未对记录配置 ErrorHandlingDeserializer,当用户将容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true(默认未false),并且允许不受信任的源发布到 Kafka 主题中时,攻击者可将恶意 payload 注入到 Kafka 主题中,当反序列化记录头时远程执行任意代码。 参考链接:https://www.oscs1024.com/hd/MPS-fed8-ocuv |

|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| Spring Security Advisories 描述 |
| 在 Apache Kafka 3.0.9 及更早版本以及 2.9.10 及更早版本的 Spring 中,存在可能的反序列化攻击向量,但前提是应用了异常配置。攻击者必须在反序列化异常记录标头之一中构造恶意序列化对象。 参考链接:https://spring.io/security/cve-2023-34040 |

影响范围及处置方案

OSCS 平台影响范围和处置方案

|---------------------------------------------------------|------|--------------------------------------------------------------------------------------------------------------------------------------------|
| 影响范围 | 处置方式 | 处置方法 |
| org.springframework.kafka:spring-kafka [2.8.1, 2.9.11) | 更新 | 升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本 |
| org.springframework.kafka:spring-kafka [2.8.1, 2.9.11) | 缓解措施 | 为记录的键或值配置 ErrorHandlingDeserializer; 不使用 ErrorHandlingDeserializers 时,勿设置容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true |
| org.springframework.kafka:spring-kafka [2.8.1, 2.9.11) | 补丁 | 官方已发布补丁:https://github.com/spring-projects/spring-kafka/commit/ddd1a96561e70599d8332b0907ec00df930d324b |
| org.springframework.kafka:spring-kafka [3.0.0, 3.0.10) | 更新 | 升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本 |
| 参考链接: https://www.oscs1024.com/hd/MPS-fed8-ocuv |||

Spring Security Advisories 平台影响范围和处置方案

|-----------------------------------------|------|------------------------------------------------|
| 影响范围 | 处置方式 | 处置方法 |
| Spring for Apache Kafka 2.8.1 to 2.9.10 | 更新 | 升级 Spring for Apache Kafka 到2.9.11或更高版本 |
| Spring for Apache Kafka 2.8.1 to 2.9.10 | 缓解措施 | 2.8.x and 2.9.x users should upgrade to 2.9.11 |
| Spring for Apache Kafka 3.0.0 to 3.0.9 | 更新 | 升级 Spring for Apache Kafka 到3.0.10 |
| Spring for Apache Kafka 3.0.0 to 3.0.9 | 缓解措施 | 3.0.x users should upgrade to 3.0.10 |
| 参考链接: https://spring.io/security/cve-2023-34040 |||

排查方式

|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 方式1:使用漏洞检测CLI工具来排查 使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查 使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查 使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式: https://www.murphysec.com/docs/faqs/integration/ |

关于墨知

墨知是国内首个专注软件供应链安全领域的技术社区,社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容,包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析(SCA)、开源许可证合规等前沿技术及最佳实践。

墨知主要内容分类:

  1. 漏洞分析:漏洞_墨知 (oscs1024.com)
  2. 投毒分析:投毒分析_墨知 (oscs1024.com)
  3. 行业动态:行业动态_墨知 (oscs1024.com)
  4. 行业研究:行业研究_墨知 (oscs1024.com)
  5. 工具推荐:工具推荐_墨知 (oscs1024.com)
  6. 最佳实践:最佳实践_墨知 (oscs1024.com)
  7. 技术科普:技术科普_墨知 (oscs1024.com)

墨知通过促进知识共享、技术研究和合作交流,帮助组织和个人提高软件供应链的安全性,减少供应链攻击的风险,并保护软件生态系统的整体安全。

进入社区:https://zhi.oscs1024.com/

原文来自:https://zhi.oscs1024.com/5170.html

相关推荐
MicroTech20258 分钟前
微算法科技(NASDAQ :MLGO)基于区块链的混合数据驱动认知算法:开启智能安全新范式
科技·安全·区块链
翼龙云_cloud10 分钟前
亚马逊云渠道商:如何利用AWS工具进行日常安全运维?
运维·安全·云计算·aws
q***25118 分钟前
Spring容器的开启与关闭
java·后端·spring
q***448119 分钟前
java进阶--多线程学习
java·开发语言·学习
0***m82222 分钟前
Maven Spring框架依赖包
java·spring·maven
艾斯比的日常24 分钟前
Neo4j 完全指南:从核心特性到 Java 实战(附企业级应用场景)
java·开发语言·neo4j
K***430625 分钟前
三大框架-Spring
java·spring·rpc
后端小张34 分钟前
【JAVA 进阶】深入探秘Netty之Reactor模型:从理论到实战
java·开发语言·网络·spring boot·spring·reactor·netty
我命由我123452 小时前
Java NIO 编程 - NIO Echo Server、NIO Client(NIO 异步客户端、NIO Selector 异步客户端)
java·开发语言·网络·java-ee·intellij-idea·intellij idea·nio
嗯、.2 小时前
使用Itext9生成PDF水印,兼容不同生成引擎的坐标系(如: Skia、OpenPDF)
java·pdf·itextpdf·openpdf·坐标变换矩阵
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连04UV安装并设置国内源05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06Google Antigravity:无法登录?早期错误、登录修复和用户反馈指南07Linux下V2Ray安装配置指南08Labelme从安装到标注:零基础完整指南09全球最强模型Grok4,国内已可免费使用!(附教程)1046个Nano-banana 精选提示词,持续更新中