Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01001

Опубликовано: 13 янв. 2020
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость компонента Connect workers диспетчера сообщений Apache Kafka связана с передачей данных в открытом виде. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.
Oracle Corp.
Apache Software Foundation

Наименование ПО

Red Hat AMQ Streams
Banking Platform
Financial Services Analytical Applications Infrastructure
Oracle Banking Liquidity Management
Oracle Banking Credit Facilities Process Management
Oracle Banking Payments
Oracle Banking Supply Chain Finance
Oracle Banking Trade Finance Process Management
Oracle Banking Virtual Account Management
Oracle Banking Corporate Lending Process Management
Oracle FLEXCUBE Universal Banking
Kafka

Версия ПО

1 (Red Hat AMQ Streams)
2.7.0 (Banking Platform)
от 8.0.6 до 8.1.0 включительно (Financial Services Analytical Applications Infrastructure)
от 14.0.0 до 14.4.0 включительно (Oracle Banking Liquidity Management)
14.1.0 (Oracle Banking Credit Facilities Process Management)
14.3.0 (Oracle Banking Credit Facilities Process Management)
14.4.0 (Oracle Banking Credit Facilities Process Management)
14.4.0 (Oracle Banking Payments)
от 14.2.0 до 14.4.0 включительно (Oracle Banking Supply Chain Finance)
14.1.0 (Oracle Banking Trade Finance Process Management)
14.3.0 (Oracle Banking Trade Finance Process Management)
14.4.0 (Oracle Banking Trade Finance Process Management)
14.1.0 (Oracle Banking Virtual Account Management)
14.3.0 (Oracle Banking Virtual Account Management)
14.4.0 (Oracle Banking Virtual Account Management)
14.1.0 (Oracle Banking Corporate Lending Process Management)
14.3.0 (Oracle Banking Corporate Lending Process Management)
14.4.0 (Oracle Banking Corporate Lending Process Management)
14.4.0 (Oracle FLEXCUBE Universal Banking)
2.0.0 (Kafka)
2.0.1 (Kafka)
2.1.0 (Kafka)
2.1.1 (Kafka)
2.2.0 (Kafka)
2.2.1 (Kafka)
2.3.0 (Kafka)

Тип ПО

Прикладное ПО информационных систем
ПО для разработки ИИ

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache:
https://lists.apache.org/thread.html/r0e3a613705d70950aca2bfe9a6265c87503921852d9a3dbce512ca9f@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/r2d390dec5f360ec8aa294bef18e1a4385e2a3698d747209216f5a48b@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/r3154f5adbc905f1f9012a92240c8e00a96628470cc819453b9606d0e@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/r3203d7f25a6ca56ff3e48c43a6aa7cb60b8e5d57d0eed9f76dc2b7a8@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/r47c225db363d1ee2c18c4b3b2f51b63a9789f78c7fa602e5976ecd05@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/r4b20b40c40d4a4c641e2ef4228098a57935e5782bfdfdf3650e48265@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/r4d9e87cdae99e98d7b244cfa53d9d2532d368d3a187fbc87c493dcbe@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/r56eb055b544931451283fee51f7e1f5b8ebd3085fed7d77aaba504c9@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/r6af5ed95726874e9add022955be83c192428c248d1c9a1914aff89d9%40%3Cdev.kafka.apache.org%3E
https://lists.apache.org/thread.html/r6af5ed95726874e9add022955be83c192428c248d1c9a1914aff89d9@%3Cannounce.apache.org%3E
https://lists.apache.org/thread.html/r6af5ed95726874e9add022955be83c192428c248d1c9a1914aff89d9@%3Cusers.kafka.apache.org%3E
https://lists.apache.org/thread.html/r6fa1cff4786dcef2ddd1d717836ef123c878e8321c24855bad24ae0f@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/r801c68bf987931f35d2e24ecc99f3aa2850fdd8f5ef15fe6c60fecf3@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/r8890b8f18f1de821595792b58b968a89692a255bc20d86d395270740@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/r9871a4215b621c1d09deee5eba97f0f44fde01b4363deb1bed0dd160@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/rc27d424d0bdeaf31081c3e246db3c66e882243ae3f342dfa845e0261@%3Ccommits.kafka.apache.org%3E
https://lists.apache.org/thread.html/rde947ee866de6687bc51cdc8dfa6d7e6b3ad4ce8c708c344f773e6dc@%3Ccommits.druid.apache.org%3E
https://lists.apache.org/thread.html/rfe90ca0463c199b99c2921410639aed53a172ea8b733eab0dc776262@%3Ccommits.druid.apache.org%3E
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpuapr2022.html
Для программных продуктов Red Hat.:
https://access.redhat.com/security/cve/cve-2019-12399

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 84%
0.02307
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2019-12399

CVSS3: 7.5
redhat
около 6 лет назад

When Connect workers in Apache Kafka 2.0.0, 2.0.1, 2.1.0, 2.1.1, 2.2.0, 2.2.1, or 2.3.0 are configured with one or more config providers, and a connector is created/updated on that Connect cluster to use an externalized secret variable in a substring of a connector configuration property value, then any client can issue a request to the same Connect cluster to obtain the connector's task configuration and the response will contain the plaintext secret rather than the externalized secrets variables.

nvd логотип

CVE-2019-12399

CVSS3: 7.5
nvd
около 6 лет назад

When Connect workers in Apache Kafka 2.0.0, 2.0.1, 2.1.0, 2.1.1, 2.2.0, 2.2.1, or 2.3.0 are configured with one or more config providers, and a connector is created/updated on that Connect cluster to use an externalized secret variable in a substring of a connector configuration property value, then any client can issue a request to the same Connect cluster to obtain the connector's task configuration and the response will contain the plaintext secret rather than the externalized secrets variables.

debian логотип

CVE-2019-12399

CVSS3: 7.5
debian
около 6 лет назад

When Connect workers in Apache Kafka 2.0.0, 2.0.1, 2.1.0, 2.1.1, 2.2.0 ...

github логотип

GHSA-6jmf-mxwf-r3jc

CVSS3: 7.5
github
больше 5 лет назад

Exposure of Sensitive Information to an Unauthorized Actor in Apache Kafka

EPSS

Процентиль: 84%
0.02307
Низкий

7.5 High

CVSS3

7.8 High

CVSS2