CVE-2023-34040: Lỗ hổng thực thi mã từ xa trong Spring Kafka

[WhiteHat News #ID:2018]

Một lỗ hổng Deserialization (chuyển đổi cấu trúc dữ liệu) vừa được phát hiện trong Spring Kafka. Lỗ hổng có mã định danh CVE-2023-34040, điểm CVSS 7,8 được đánh giá có mức độ trung bình.

​

Lỗ hổng xảy ra do quá trình Deserialization dữ liệu không đáng tin cậy từ việc cấu hình không chính xác. Kẻ tấn công từ xa có thể truyền dữ liệu được chế tạo đặc biệt tới ứng dụng và thực thi mã tùy ý trên hệ thống đích.

Cụ thể, các nguyên nhân gây ra lỗ hổng gồm:

• Người dùng không cấu hình ErrorHandlingDeserializer là khóa và/hoặc giá trị của bản ghi.
• Người dùng đặt thuộc tính của container checkDeserExWhenKeyNull và/hoặc checkDeserExWhenValueNull thành true.
• Người dùng cho phép các nguồn không đáng tin cậy công khai một chủ đề của Kafka.

Các phiên bản Spring for Apache Kafka bị ảnh hưởng

• 2.8.1 đến 2.9.10
• 3.0.0 đến 3.0.9

Biện pháp giảm thiểu:

• Không cài đặt thuộc tính của container checkDeserExWhenKeyNull hoặc checkDeserExWhenValueNull khi không sử dụng.
• Người dùng đang chạy phiên bản 2.8.x và 2.9.x cần nâng cấp lên 2.9.11
• Người dùng phiên bản 3.0.x nên nâng cấp lên 3.0.10.

Các bản phát hành để xử lý lỗ hổng trong Spring for Apache Kafka:

• 3.0.10
• 2.9.11

Đối với Spring boot 3.0.10 (hoặc cao hơn) sẽ tự động sử dụng Spring for Apache Kafka 3.0.10 (hoặc cao hơn). Người dùng phiên bản Spring Boot 2.7.x nên ghi đè bản boot của Spring for Apache Kafka 2.8.x lên 2.9.11 (hoặc cao hơn).

Lỗ hổng được ghi nhận cho nhà nghiên cứu Joseph Beeton của Contrast Security, Inc. Thông tin chi tiết về lỗ hổng, người dùng có thể tham khảo tại đây.

Nguồn: Tổng hợp​