国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

【中?!縎pring Kafka 反序列化漏洞 (CVE-2023-34040)

2年前作者:開源生態(tài)安全OSCS分類:Toy博客閱讀(53)違法舉報

這篇具有很好參考價值的文章主要介紹了【中?!縎pring Kafka 反序列化漏洞 (CVE-2023-34040)。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

【中?!縎pring Kafka 反序列化漏洞 (CVE-2023-34040),漏洞情報訂閱,spring,kafka,java,安全,漏洞,網(wǎng)絡(luò)安全
zhi.oscs1024.com?????
漏洞類型 反序列化 發(fā)現(xiàn)時間 2023-08-24 漏洞等級 中危
MPS編號 MPS-fed8-ocuv CVE編號 CVE-2023-34040 漏洞影響廣度

漏洞危害

OSCS 描述
Spring Kafka?是 Spring Framework 生態(tài)系統(tǒng)中的一個模塊,用于簡化在 Spring 應(yīng)用程序中集成 Apache Kafka 的過程,記錄(record)指 Kafka 消息中的一條記錄。
受影響版本中默認(rèn)未對記錄配置 ErrorHandlingDeserializer,當(dāng)用戶將容器屬性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 設(shè)置為 true(默認(rèn)未false),并且允許不受信任的源發(fā)布到 Kafka 主題中時,攻擊者可將惡意 payload 注入到 Kafka 主題中,當(dāng)反序列化記錄頭時遠(yuǎn)程執(zhí)行任意代碼。
參考鏈接:https://www.oscs1024.com/hd/MPS-fed8-ocuv
Spring Security Advisories 描述
在 Apache Kafka 3.0.9 及更早版本以及 2.9.10 及更早版本的 Spring 中,存在可能的反序列化攻擊向量,但前提是應(yīng)用了異常配置。攻擊者必須在反序列化異常記錄標(biāo)頭之一中構(gòu)造惡意序列化對象。
參考鏈接:https://spring.io/security/cve-2023-34040

影響范圍及處置方案

OSCS?平臺影響范圍和處置方案

影響范圍 處置方式 處置方法
org.springframework.kafka:spring-kafka [2.8.1, 2.9.11) 更新 升級org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本
緩解措施 為記錄的鍵或值配置 ErrorHandlingDeserializer;
不使用 ErrorHandlingDeserializers 時,勿設(shè)置容器屬性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 設(shè)置為 true
補(bǔ)丁 官方已發(fā)布補(bǔ)?。篽ttps://github.com/spring-projects/spring-kafka/commit/ddd1a96561e70599d8332b0907ec00df930d324b
org.springframework.kafka:spring-kafka [3.0.0, 3.0.10) 更新 升級org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本
參考鏈接:https://www.oscs1024.com/hd/MPS-fed8-ocuv

Spring Security Advisories?平臺影響范圍和處置方案

影響范圍 處置方式 處置方法
Spring for Apache Kafka 2.8.1 to 2.9.10 更新 升級 Spring for Apache Kafka 到2.9.11或更高版本
緩解措施 2.8.x and 2.9.x users should upgrade to 2.9.11
Spring for Apache Kafka 3.0.0 to 3.0.9 更新 升級 Spring for Apache Kafka 到3.0.10
緩解措施 3.0.x users should upgrade to 3.0.10
參考鏈接:https://spring.io/security/cve-2023-34040

排查方式

方式1:使用漏洞檢測CLI工具來排查

使用文檔:https://www.murphysec.com/docs/faqs/integration/cli.html

方式2:使用漏洞檢測IDEA插件排查

使用文檔:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3:接入GitLab進(jìn)行漏洞檢測排查

使用文檔:https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式:https://www.murphysec.com/docs/faqs/integration/

關(guān)于墨知

墨知是國內(nèi)首個專注軟件供應(yīng)鏈安全領(lǐng)域的技術(shù)社區(qū),社區(qū)致力于為國內(nèi)數(shù)百萬技術(shù)人員提供全方位的軟件供應(yīng)鏈安全專業(yè)知識內(nèi)容,包括軟件供應(yīng)鏈安全技術(shù)、漏洞情報、開源組件安全、SBOM、軟件成分分析(SCA)、開源許可證合規(guī)等前沿技術(shù)及最佳實踐。

墨知主要內(nèi)容分類:

  1. 漏洞分析:漏洞_墨知 (oscs1024.com)
  2. 投毒分析:投毒分析_墨知 (oscs1024.com)
  3. 行業(yè)動態(tài):行業(yè)動態(tài)_墨知 (oscs1024.com)
  4. 行業(yè)研究:行業(yè)研究_墨知 (oscs1024.com)
  5. 工具推薦:工具推薦_墨知 (oscs1024.com)
  6. 最佳實踐:最佳實踐_墨知 (oscs1024.com)
  7. 技術(shù)科普:技術(shù)科普_墨知 (oscs1024.com)

墨知通過促進(jìn)知識共享、技術(shù)研究和合作交流,幫助組織和個人提高軟件供應(yīng)鏈的安全性,減少供應(yīng)鏈攻擊的風(fēng)險,并保護(hù)軟件生態(tài)系統(tǒng)的整體安全。

進(jìn)入社區(qū):https://zhi.oscs1024.com/

原文來自:https://zhi.oscs1024.com/5170.html文章來源地址http://www.zghlxwxcb.cn/news/detail-672288.html

到了這里,關(guān)于【中?!縎pring Kafka 反序列化漏洞 (CVE-2023-34040)的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進(jìn)行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費用

相關(guān)文章

  • CVE-2023-34040 Kafka 反序列化RCE

    CVE-2023-34040 Kafka 反序列化RCE

    Spring Kafka 是 Spring Framework 生態(tài)系統(tǒng)中的一個模塊,用于簡化在 Spring 應(yīng)用程序中集成 Apache Kafka 的過程,記錄 (record) 指 Kafka 消息中的一條記錄。 受影響版本中默認(rèn)未對記錄配置? ErrorHandlingDeserializer ,當(dāng)用戶將容器屬性? checkDeserExWhenKeyNull ?或? checkDeserExWhenValueNull ?設(shè)置為

    2024年02月05日
    瀏覽(24)
  • 【高?!緼pache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195)

    【高?!緼pache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195)

    zhi.oscs1024.com????? 漏洞類型 反序列化 發(fā)現(xiàn)時間 2023-08-29 漏洞等級 高危 MPS編號 MPS-qkdx-17bc CVE編號 CVE-2023-40195 漏洞影響廣度 廣 OSCS 描述 Apache Airflow Spark Provider是Apache Airflow項目的一個插件,用于在Airflow中管理和調(diào)度Apache Spark作業(yè)。 受影響版本中,由于沒有對conn_prefix參

    2024年02月10日
    瀏覽(29)
  • 關(guān)于Apache Dubbo反序列化漏洞(CVE-2023-23638)的預(yù)警提示與對應(yīng)的Zookeeper版本

    關(guān)于Apache Dubbo反序列化漏洞(CVE-2023-23638)的預(yù)警提示與對應(yīng)的Zookeeper版本

    ? ? ? ? 公司在升級dubbo過程中因 zookeeper版本不匹配,導(dǎo)致服務(wù)注冊和調(diào)用出現(xiàn)異常 一、漏洞詳情 Apache Dubbo是一款高性能、輕量級的開源Java服務(wù)框架。 Apache官方發(fā)布安全公告,修復(fù)了Apache Dubbo中的一個反序列化漏洞(CVE-2023-23638)。由于Apache Dubbo安全檢查存在缺陷,導(dǎo)致可

    2024年02月15日
    瀏覽(27)
  • 【嚴(yán)重】VMware Aria Operations for Logs v8.10.2 存在反序列化漏洞(CVE-2023-20864)

    【嚴(yán)重】VMware Aria Operations for Logs v8.10.2 存在反序列化漏洞(CVE-2023-20864)

    VMware Aria Operations for Logs前身是vRealize Log Insight,VMware用于處理和管理大規(guī)模的日志數(shù)據(jù)產(chǎn)品。 VMware Aria Operations for Logs 8.10.2版本中存在反序列化漏洞,具有 VMware Aria Operations for Logs 網(wǎng)絡(luò)訪問權(quán)限的未經(jīng)身份驗證的攻擊者能夠以 root 身份執(zhí)行任意代碼。 漏洞名稱 VMware Aria Oper

    2024年02月01日
    瀏覽(31)
  • ActiveMQ 反序列化漏洞 (CVE-2015-5254)復(fù)現(xiàn)

    ActiveMQ 反序列化漏洞 (CVE-2015-5254)復(fù)現(xiàn)

    1、Apache ActiveMQ Apache ActiveMQ是Apache軟件基金會所研發(fā)的一套開源的消息中間件,它支持Java消息服務(wù),集群,Spring Framework等。 2、漏洞產(chǎn)生原理 該組件程序造成的漏洞不限制代理中可以序列化的類。遠(yuǎn)程攻擊者可以使一個特殊的序列化 Java 消息服務(wù) (JMS) ObjectMessage 對象利用此漏

    2024年02月10日
    瀏覽(21)
  • Jboss(CVE-2017-12149)反序列化命令執(zhí)行漏洞

    Jboss(CVE-2017-12149)反序列化命令執(zhí)行漏洞

    該漏洞為 Java反序列化錯誤類型,存在于 Jboss 的 HttpInvoker 組件中的 ReadOnlyAccessFilter 過濾器中。該過濾器在沒有進(jìn)行任何安全檢查的情況下嘗試將來自客戶端的數(shù)據(jù)流進(jìn)行反序列化,從而導(dǎo)致了漏洞。 受影響系統(tǒng)及應(yīng)用版本?? ?Jboss AS 5.x、Jboss AS 6.x 環(huán)境搭建 使用vulhub靶場

    2024年02月15日
    瀏覽(33)
  • WebLogic反序列化漏洞復(fù)現(xiàn)+利用工具(CVE-2021-2394)

    WebLogic反序列化漏洞復(fù)現(xiàn)+利用工具(CVE-2021-2394)

    Oracle官方發(fā)布了2021年7月份安全更新通告,通告中披露了WebLogic組件存在高危漏洞,攻擊者可以在未授權(quán)的情況下通過IIOP、T3協(xié)議對存在漏洞的WebLogic Server組件進(jìn)行攻擊。成功利用該漏洞的攻擊者可以接管WebLogic Server。 這是一個二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的

    2024年02月06日
    瀏覽(37)
  • Jboss反序列化遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-12149)

    Jboss反序列化遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-12149)

    :Jboss文件下的httplnvoker組件中的Readonly Accessfilter過濾器中的dofilter沒有限制來自客戶端的序列化數(shù)據(jù)而進(jìn)行反序列化。 漏洞影響版本:Jboss5.x Jboss6.x 利用vulhub搭建Jboss cd vulhub cd jboss cd CVE-2017-12149 docker-compose build (若出現(xiàn)鏡像問題,直接執(zhí)行下面命令) docker-compose up -d 訪問:h

    2024年02月07日
    瀏覽(33)
  • Tomcat Session(CVE-2020-9484)反序列化漏洞復(fù)現(xiàn)

    Tomcat Session(CVE-2020-9484)反序列化漏洞復(fù)現(xiàn)

    ????????北京時間2020年05月20日,Apache官方發(fā)布了 Apache Tomcat 遠(yuǎn)程代碼執(zhí)行 的風(fēng)險通告,該漏洞編號為 CVE-2020-9484。 Apache Tomcat 是一個開放源代碼、運(yùn)行servlet和JSP Web應(yīng)用軟件的基于Java的Web應(yīng)用軟件容器。當(dāng)Tomcat使用了自帶session同步功能時,使用不安全的配置(沒有使用

    2024年02月01日
    瀏覽(29)
  • Jackson-databind 反序列化漏洞(CVE-2017-7525、CVE-2017-17485)

    Jackson-databind 反序列化漏洞(CVE-2017-7525、CVE-2017-17485)

    Jackson-databind 支持 Polymorphic Deserialization 特性(默認(rèn)情況下不開啟),當(dāng) json 字符串轉(zhuǎn)換的 Target class 中有 polymorph fields,即字段類型為接口、抽象類或 Object 類型時,攻擊者可以通過在 json 字符串中指定變量的具體類型 (子類或接口實現(xiàn)類),來實現(xiàn)實例化指定的類,借助某些特

    2024年02月13日
    瀏覽(20)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包