【安全资讯】CVE-2024-31141: Apache Kafka 漏洞暴露用户数据给潜在攻击者

概要：

近期发现的Apache Kafka漏洞（CVE-2024-31141）可能导致攻击者未经授权访问敏感信息。作为流行的开源事件流平台，Apache Kafka被广泛应用于关键数据操作，这一漏洞可能影响数千家公司，凸显了网络安全的重要性。

主要内容：

该漏洞源于Apache Kafka Clients处理配置数据的方式。根据官方安全建议，Apache Kafka Clients接受用于自定义行为的配置数据，并包括ConfigProvider插件以操控这些配置。这一机制虽然旨在提供灵活性，但无意中为攻击者打开了一扇门。

具体而言，Apache Kafka提供的FileConfigProvider、DirectoryConfigProvider和EnvVarConfigProvider实现了从磁盘或环境变量读取数据的能力。在配置可以由不可信方指定的应用程序中，攻击者可能利用这些ConfigProviders读取任意的磁盘内容和环境变量。这在SaaS产品等环境中尤为令人担忧，因为该漏洞可能使攻击者从REST API访问升级到文件系统或环境访问。

Apache Kafka项目已敦促用户立即采取行动以降低风险，建议将kafka-clients升级至3.8.0或更高版本，并设置JVM系统属性“org.apache.kafka.automatic.config.providers=none”。然而，建议Kafka Broker、Kafka MirrorMaker 2.0、Kafka Streams和Kafka命令行工具的用户不要设置此系统属性。此外，使用特定ConfigProvider实现的Kafka Connect用户应实施“allowlist.pattern”和“allowed.paths”以限制访问。