一、漏洞描述
Apache Kafka Connect是Apache Kafka生态系统中的一个组件,它提供了一种可靠且可扩展的方式来连接Kafka与其他系统。
攻击者可在未授权的情况下,通过该漏洞读取系统敏感文件,利用难度较低。另外,由于Apache Druid 使用了受影响的Kafka版本,也受该漏洞影响。Kafka官方已修复该漏洞,建议受影响的客户尽快修复。
二、影响范围
影响产品:Apache软件基金会 | Apache Kafka
影响版本:3.1.0 ≤ version < 3.9.1
三、影响评估
危害度 高危
漏洞类型 文件读取
利用度 POC未公开
所需权限 无需
交互要求 无需
四、修复建议
Kafka官方已发布修复版本,请尽快更新至3.9.1及以上版本
结合以上内容,需进行kafka版本升级
五、现状
节点1 版本3.7.0
节点2 版本3.7.0
节点3 版本3.7.0
6、新版本下载
点击该部分进行下载页跳转 Apache Kafka
7、上传文件至服务器后进行压缩包解压
bash
tar -xvf kafka_2.12-3.9.1.tgz8、进入解压后文件的配置文件目录
bash
cd kafka_2.12-3.9.1/config/9、对现有配置文件进行重命名(目的使用原有配置文件)
bash
mv server.properties server.properties.bank10、复制原有配置文件至当前目录(根据自己的路径进行调整命令)
## cp 老版本的配置文件目录 ./
bash
cp /data/apps/kafka/kafka/config/kraft/server.properties ./11、修改配置文件
bash
vi server.properties
新增下方内容 #旧版本号(即官网说的升级前的kafka版本) 我的是3.7.0
inter.broker.protocol.version=3.7.0
##如不清楚自己的版本号可在升级前的kafka目录运行 sh bin/kafka-topics.sh --version12、需要将原有topic启动拷贝到3.9.1bin目录下面
bash
mv kafka-topics.sh kafka-topics.sh0708
cp /data/apps/kafka/kafka/bin/kafka-topics.sh /data/apps/kafka_2.13-3.9.1/kafka_2.13-3.9.1/bin
#将kafka_client_jaas.conf文件拷贝到3.9.1目录
cp /data/apps/kafka/kafka_2.13-3.7.0/config/kafka_client_jaas.conf /data/apps/kafka_2.13-3.9.1/kafka_2.13-3.9.1/config/
#修改kafka-topics.sh脚本kafka_client_jaas.conf路径
--也可以不改只要路径正确
/data/apps/kafka_2.13-3.9.1/kafka_2.13-3.9.1/config/kafka_client_jaas.conf
13、停止升级前Kafka
bash
进入升级前kakfa目录运行停止脚本
sh bin/kafka-server-stop.sh
或者直接kill进程号启动新版本kafka
bash
sh /bin/kafka-server-start.sh -daemon /config/server.properties参考文档:kafka版本升级3.5.1-->3.9.1(集群或单体步骤一致)_cve-2025-27817-CSDN博客