Apache Kafka Connect 任意文件读取漏洞(CVE-2025-27817)风险预警
一、漏洞描述
Apache Kafka Connect是Apache Kafka生态系统中的一个组件,它提供了一种可靠且可扩展的方式来连接Kafka与其他系统。
攻击者可在未授权的情况下,通过该漏洞读取系统敏感文件,利用难度较低。另外,由于Apache Druid 使用了受影响的Kafka版本,也受该漏洞影响。Kafka官方已修复该漏洞,建议受影响的客户尽快修复。
二、影响范围
影响产品:Apache软件基金会 | Apache Kafka
影响版本:3.1.0 ≤ version < 3.9.1
三、影响评估
危害度 高危
漏洞类型 文件读取
利用度 POC未公开
所需权限 无需
交互要求 无需
四、修复建议
Kafka官方已发布修复版本,请尽快更新至3.9.1及以上版本
结合以上内容,需进行kafka版本升级
五、现状
节点1 版本3.5.1
节点2 版本3.5.1
节点3 版本3.5.1
6、新版本下载
点击该部分进行下载页跳转 Apache Kafka
7、上传文件至服务器后进行压缩包解压
bash
tar -xvf kafka_2.12-3.9.1.tgz8、进入解压后文件的配置文件目录
bash
cd kafka_2.12-3.9.1/config/9、对现有配置文件进行重命名(目的使用原有配置文件)
bash
mv server.properties server.properties.bank10、复制原有配置文件至当前目录(根据自己的路径进行调整命令)
bash
## cp 老版本的配置文件目录 ./
cp /data/kafka_2.12-3.5.1/config/server.properties ./11、修改配置文件
bash
vi server.properties
新增下方内容 #旧版本号(即官网说的升级前的kafka版本) 我的是3.5.1
inter.broker.protocol.version=3.5.1
##如不清楚自己的版本号可在升级前的kafka目录运行 sh bin/kafka-topics.sh --version12、停止升级前Kafka
进入升级前kakfa目录运行停止脚本
bash
sh bin/kafka-server-stop.sh
或者直接kill进程号13、启动新版本kafka
bash
sh /bin/kafka-server-start.sh -daemon /config/server.properties至此当个节点kafka以成功升级,其他节点相同步骤;
欢迎各位大佬进行交流!
版本切换后需要注意kafka数据存储机制,可能会导致服务器存储持续增长!!!
原因:老版本数据存储策略停止故数据不会自动清除,新版本不满足清除条件,故磁盘空间持续增长。