Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-03778

Опубликовано: 10 июл. 2019
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость диспетчера сообщений Apache Kafka связана с недостатками разграничения доступа при использовании списка управления доступом ACL (Access Control List). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности с помощью специально созданного запроса

Вендор

Oracle Corp.
Apache Software Foundation
IBM Corp.

Наименование ПО

Primavera Unifier
Primavera P6 Enterprise Project Portfolio Management
Kafka
IBM QRadar SIEM

Версия ПО

18.8 (Primavera Unifier)
19.12 (Primavera Unifier)
от 19.12.0 до 19.12.6 включительно (Primavera P6 Enterprise Project Portfolio Management)
от 0.11.0.0 до 2.1.0 включительно (Kafka)
7.3 (IBM QRadar SIEM)
7.4 (IBM QRadar SIEM)
7.5 (IBM QRadar SIEM)

Тип ПО

Прикладное ПО информационных систем
ПО для разработки ИИ
Программное средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Kafka:
https://www.mail-archive.com/dev@kafka.apache.org/msg99277.html
Для программных продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-apache-kafka-as-used-by-ibm-qradar-siem-is-vulnerable-to-information-disclosure-cve-2021-38153-cve-2018-17196/
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 59%
0.00381
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2018-17196

CVSS3: 8.8
redhat
больше 6 лет назад

In Apache Kafka versions between 0.11.0.0 and 2.1.0, it is possible to manually craft a Produce request which bypasses transaction/idempotent ACL validation. Only authenticated clients with Write permission on the respective topics are able to exploit this vulnerability. Users should upgrade to 2.1.1 or later where this vulnerability has been fixed.

nvd логотип

CVE-2018-17196

CVSS3: 8.8
nvd
больше 6 лет назад

In Apache Kafka versions between 0.11.0.0 and 2.1.0, it is possible to manually craft a Produce request which bypasses transaction/idempotent ACL validation. Only authenticated clients with Write permission on the respective topics are able to exploit this vulnerability. Users should upgrade to 2.1.1 or later where this vulnerability has been fixed.

debian логотип

CVE-2018-17196

CVSS3: 8.8
debian
больше 6 лет назад

In Apache Kafka versions between 0.11.0.0 and 2.1.0, it is possible to ...

github логотип

GHSA-47w3-66wq-cpxg

CVSS3: 8.8
github
больше 3 лет назад

Improper Input Validation in Apache Kafka

EPSS

Процентиль: 59%
0.00381
Низкий

8.8 High

CVSS3

9 Critical

CVSS2