Plateforme
java
Composant
org.apache.kafka:kafka-clients
Corrigé dans
3.5.3
3.6.3
3.7.1
3.7.1
La vulnérabilité CVE-2024-31141 représente une escalade de privilèges dans Apache Kafka Clients. Elle découle de la capacité des ConfigProviders, notamment FileConfigProvider, DirectoryConfigProvider et EnvVarConfigProvider, à lire des configurations à partir de sources externes non fiables. Cette faille permet à un attaquant de manipuler les configurations de Kafka, potentiellement compromettant le système. Les versions affectées sont celles inférieures ou égales à 3.7.0, et une correction est disponible dans la version 3.7.1.
Cette vulnérabilité permet à un attaquant de prendre le contrôle des configurations de Kafka en fournissant des données malveillantes via des ConfigProviders externes. L'impact peut être significatif, allant de la modification du comportement de Kafka à la compromission complète du cluster. Par exemple, un attaquant pourrait modifier les paramètres d'authentification, les règles d'accès aux données ou les configurations de sécurité, ouvrant la voie à des attaques plus sophistiquées. La surface d'attaque est particulièrement large dans les environnements où les configurations de Kafka sont gérées par des processus externes ou des scripts non fiables. Bien que des cas d'exploitation directe n'aient pas été publiquement rapportés, la nature de la vulnérabilité et la large utilisation de Kafka en font une cible potentielle pour des acteurs malveillants.
La vulnérabilité CVE-2024-31141 a été divulguée le 19 novembre 2024. Elle n'a pas encore été ajoutée au KEV de CISA, mais sa classification MODÉRÉ indique une probabilité d'exploitation non négligeable. Aucun proof-of-concept (PoC) public n'a été rendu disponible à ce jour, mais la complexité de la configuration de Kafka pourrait rendre l'exploitation plus difficile. Il est conseillé de surveiller les sources d'informations sur les vulnérabilités et les forums de sécurité pour détecter toute nouvelle activité.
Organizations utilizing Apache Kafka Clients in environments where configuration data is sourced from untrusted parties are at significant risk. This includes cloud deployments where configuration files are stored in shared storage, containerized environments where environment variables are easily manipulated, and systems with legacy configuration management practices. Shared hosting environments where multiple users share the same Kafka instance are particularly vulnerable.
• java / server:
ps -ef | grep Kafka• java / server:
find /opt/kafka /usr/local/kafka -name config.properties -print• java / server:
journalctl -u kafka -f | grep "ConfigProvider"disclosure
Statut de l'Exploit
EPSS
0.11% (percentile 30%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Apache Kafka Clients vers la version 3.7.1 ou supérieure, qui corrige cette vulnérabilité. Si une mise à niveau immédiate n'est pas possible, des mesures temporaires peuvent être prises. Il est crucial de s'assurer que les ConfigProviders externes ne sont accessibles qu'à des sources de confiance. Limiter l'accès aux fichiers de configuration et aux variables d'environnement utilisés par Kafka est également essentiel. Envisagez de mettre en place des règles de pare-feu pour restreindre l'accès au cluster Kafka aux seuls clients autorisés. Surveillez attentivement les journaux de Kafka pour détecter toute activité suspecte liée à la manipulation des configurations. Après la mise à jour, vérifiez la configuration de Kafka pour vous assurer qu'elle est conforme aux politiques de sécurité de votre organisation.
Actualice la biblioteca kafka-clients a la versión 3.8.0 o superior. Adicionalmente, establezca la propiedad del sistema JVM 'org.apache.kafka.automatic.config.providers' a 'none' para deshabilitar los ConfigProviders automáticos. Si utiliza Kafka Connect, configure 'allowlist.pattern' y 'allowed.paths' para restringir el acceso a archivos y variables de entorno.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-31141 is a vulnerability in Apache Kafka Clients ≤3.7.0 that allows attackers to manipulate Kafka's behavior by influencing configuration data sourced from untrusted parties via ConfigProviders.
You are affected if you are using Apache Kafka Clients versions 3.7.0 or earlier and your Kafka configurations are sourced from potentially untrusted locations like disk or environment variables.
Upgrade to Apache Kafka Clients version 3.7.1 or later. Prior to upgrading, review and secure your configuration management practices to prevent unauthorized configuration changes.
As of November 2024, there are no publicly known active exploits for CVE-2024-31141, but the potential for exploitation exists.
Refer to the Apache Kafka security page for the latest information and advisory regarding CVE-2024-31141: https://kafka.apache.org/security
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.