​

漏洞类型：反序列化

发现时间：2023-08-24

漏洞等级：中危

MPS 编号：MPS-fed8-ocuv

CVE 编号：CVE-2023-34040

漏洞影响广度：小

漏洞危害

OSCS 描述：

Spring Kafka 是 Spring Framework 生态系统中的一个模块，用于简化在 Spring 应用程序中集成 Apache Kafka 的过程，记录(record)指 Kafka 消息中的一条记录。

受影响版本中默认未对记录配置 ErrorHandlingDeserializer，当用户将容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true(默认未 false)，并且允许不受信任的源发布到 Kafka 主题中时，攻击者可将恶意 payload 注入到 Kafka 主题中，当反序列化记录头时远程执行任意代码。

参考链接：https://www.oscs1024.com/hd/MPS-fed8-ocuv

Spring Security Advisories 描述:

在 Apache Kafka 3.0.9 及更早版本以及 2.9.10 及更早版本的 Spring 中，存在可能的反序列化攻击向量，但前提是应用了异常配置。攻击者必须在反序列化异常记录标头之一中构造恶意序列化对象。

参考链接：https://spring.io/security/cve-2023-34040

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围:org.springframework.kafka:spring-kafka [2.8.1, 2.9.11)

处置方式 1：更新

处置方法 1：升级 org.springframework.kafka:spring-kafka 到 2.9.11、3.0.10 或更高版本

处置方式 2：缓解措施

处置方法 2：为记录的键或值配置 ErrorHandlingDeserializer；

不使用 ErrorHandlingDeserializers 时，勿设置容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true

处置方式 3：补丁

处置方法 3：官方已发布补丁：https://github.com/spring-projects/spring-kafka/commit/ddd1a96561e70599d8332b0907ec00df930d324b

影响范围：org.springframework.kafka:spring-kafka [3.0.0, 3.0.10)

处置方式：更新

处置方法：升级 org.springframework.kafka:spring-kafka 到 2.9.11、3.0.10 或更高版本

参考链接：https://www.oscs1024.com/hd/MPS-fed8-ocuv

Spring Security Advisories 平台影响范围和处置方案

影响范围：Spring for Apache Kafka 2.8.1 to 2.9.10

处置方式 1：更新

处置方法 1：升级 Spring for Apache Kafka 到 2.9.11 或更高版本

处置方式 2：缓解措施

处置方法 2：2.8.x and 2.9.x users should upgrade to 2.9.11

影响范围：Spring for Apache Kafka 3.0.0 to 3.0.9

处置方式 1：更新

处置方法 1：升级 Spring for Apache Kafka 到 3.0.10

处置方式 2：缓解措施

处置方法 2：3.0.x users should upgrade to 3.0.10

参考链接：https://spring.io/security/cve-2023-34040

关于墨知

墨知是国内首个专注软件供应链安全领域的技术社区，社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容，包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析（SCA）、开源许可证合规等前沿技术及最佳实践。

墨知主要内容分类：

1. 漏洞分析：漏洞_墨知 (oscs1024.com)
   

2. 投毒分析：投毒分析_墨知 (oscs1024.com)
   

3. 行业动态：行业动态_墨知 (oscs1024.com)
   

4. 行业研究：行业研究_墨知 (oscs1024.com)
   

5. 工具推荐：工具推荐_墨知 (oscs1024.com)
   

6. 最佳实践：最佳实践_墨知 (oscs1024.com)
   

7. 技术科普：技术科普_墨知 (oscs1024.com)
   

墨知通过促进知识共享、技术研究和合作交流，帮助组织和个人提高软件供应链的安全性，减少供应链攻击的风险，并保护软件生态系统的整体安全。

进入社区：https://zhi.oscs1024.com/

原文来自：https://zhi.oscs1024.com/5174.html

​