一、漏洞详情

Apache Kafka是一个开源分布式事件流平台。可以使用Apache Kafka Connect在Apache Kafka和其他系统之间流式传输数据，Connect使得快速定义Kafka连接器变得非常简单，这些连接器可以将大量数据移入和移出Kafka。

Apache发布安全公告，修复了Apache Kafka Connect中的一个远程代码执行漏洞（CVE-2023-25194）。

在Apache Kafka 版本2.3.0 - 3.3.2中，能够访问Kafka Connect worker，并能够使用任意Kafka客户端SASL JAAS配置和基于SASL的安全协议在其上创建或修改连接器的恶意行为者可以发送JNDI请求，导致拒绝服务或远程代码执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

2.3.0 <= Apache Kafka版本 <= 3.3.2

三、修复建议

目前该漏洞已经修复，受影响用户可及时升级到Apache Kafka 版本3.4.0。

下载链接：https://kafka.apache.org/downloads