Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00046

Опубликовано: 22 сент. 2021
Источник: fstec
CVSS3: 5.9
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость диспетчера сообщений Apache Kafka связана с раскрытием информации через несоответствие. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку методом «грубой силы» (brute force)

Вендор

Oracle Corp.
Red Hat Inc.
Сообщество свободного программного обеспечения
Apache Software Foundation

Наименование ПО

Primavera Unifier
Red Hat JBoss Fuse
JBoss A-MQ Streaming
Financial Services Analytical Applications Infrastructure
Red Hat Process Automation
Red Hat build of Quarkus
Red Hat Integration Service Registry
Red Hat CodeReady Studio
Red Hat JBoss Enterprise Application Platform Expansion Pack
Oracle Communications Cloud Native Core Policy
Decision Manager
Communications BRM - Elastic Charging Engine
quarkus
Red Hat AMQ Streams
Red Hat Fuse
Kafka
Financial Services Behavior Detection Platform
Oracle Financial Services Enterprise Case Management
Red Hat Data Grid
RHAF Camel-K
RHINT Camel-Q
Vert.x

Версия ПО

18.8 (Primavera Unifier)
6 (Red Hat JBoss Fuse)
- (JBoss A-MQ Streaming)
19.12 (Primavera Unifier)
от 8.0.6 до 8.0.9 включительно (Financial Services Analytical Applications Infrastructure)
7 (Red Hat Process Automation)
20.12 (Primavera Unifier)
- (Red Hat build of Quarkus)
- (Red Hat Integration Service Registry)
12 (Red Hat CodeReady Studio)
- (Red Hat JBoss Enterprise Application Platform Expansion Pack)
1.15.0 (Oracle Communications Cloud Native Core Policy)
21.12 (Primavera Unifier)
7 (Decision Manager)
от 8.1.0.0.0 до 8.1.2.0 включительно (Financial Services Analytical Applications Infrastructure)
до 12.0.0.4.6 (Communications BRM - Elastic Charging Engine)
до 12.0.0.5.1 (Communications BRM - Elastic Charging Engine)
до 2.2.4 (quarkus)
2.0.0 (Red Hat AMQ Streams)
2.2.5 (Red Hat build of Quarkus)
7.11 (Red Hat Fuse)
от 2.0.0 до 2.6.3 (Kafka)
от 2.7.0 до 2.7.2 (Kafka)
2.8.0 (Kafka)
от 8.0.6.0 до 8.0.9.0 (Financial Services Behavior Detection Platform)
8.1.1.0 (Financial Services Behavior Detection Platform)
8.1.1.1 (Financial Services Behavior Detection Platform)
8.1.2.0 (Financial Services Behavior Detection Platform)
8.0.7.1 (Oracle Financial Services Enterprise Case Management)
8.0.7.2 (Oracle Financial Services Enterprise Case Management)
8.0.8.0 (Oracle Financial Services Enterprise Case Management)
8.0.8.1 (Oracle Financial Services Enterprise Case Management)
8.1.1.0 (Oracle Financial Services Enterprise Case Management)
8.1.1.1 (Oracle Financial Services Enterprise Case Management)
8.3.1 (Red Hat Data Grid)
1.8 (RHAF Camel-K)
2.7 (RHINT Camel-Q)
2.0.3 GA (Red Hat Integration Service Registry)
4.2.5 (Vert.x)
1.6.6 (Red Hat AMQ Streams)

Тип ПО

Прикладное ПО информационных систем
ПО виртуализации/ПО виртуального программно-аппаратного средства
ПО для разработки ИИ

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Apache:
https://kafka.apache.org/cve-list
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-38153

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 80%
0.01432
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-38153

CVSS3: 5.9
ubuntu
больше 4 лет назад

Some components in Apache Kafka use `Arrays.equals` to validate a password or key, which is vulnerable to timing attacks that make brute force attacks for such credentials more likely to be successful. Users should upgrade to 2.8.1 or higher, or 3.0.0 or higher where this vulnerability has been fixed. The affected versions include Apache Kafka 2.0.0, 2.0.1, 2.1.0, 2.1.1, 2.2.0, 2.2.1, 2.2.2, 2.3.0, 2.3.1, 2.4.0, 2.4.1, 2.5.0, 2.5.1, 2.6.0, 2.6.1, 2.6.2, 2.7.0, 2.7.1, and 2.8.0.

redhat логотип

CVE-2021-38153

CVSS3: 5.9
redhat
больше 4 лет назад

Some components in Apache Kafka use `Arrays.equals` to validate a password or key, which is vulnerable to timing attacks that make brute force attacks for such credentials more likely to be successful. Users should upgrade to 2.8.1 or higher, or 3.0.0 or higher where this vulnerability has been fixed. The affected versions include Apache Kafka 2.0.0, 2.0.1, 2.1.0, 2.1.1, 2.2.0, 2.2.1, 2.2.2, 2.3.0, 2.3.1, 2.4.0, 2.4.1, 2.5.0, 2.5.1, 2.6.0, 2.6.1, 2.6.2, 2.7.0, 2.7.1, and 2.8.0.

nvd логотип

CVE-2021-38153

CVSS3: 5.9
nvd
больше 4 лет назад

Some components in Apache Kafka use `Arrays.equals` to validate a password or key, which is vulnerable to timing attacks that make brute force attacks for such credentials more likely to be successful. Users should upgrade to 2.8.1 or higher, or 3.0.0 or higher where this vulnerability has been fixed. The affected versions include Apache Kafka 2.0.0, 2.0.1, 2.1.0, 2.1.1, 2.2.0, 2.2.1, 2.2.2, 2.3.0, 2.3.1, 2.4.0, 2.4.1, 2.5.0, 2.5.1, 2.6.0, 2.6.1, 2.6.2, 2.7.0, 2.7.1, and 2.8.0.

debian логотип

CVE-2021-38153

CVSS3: 5.9
debian
больше 4 лет назад

Some components in Apache Kafka use `Arrays.equals` to validate a pass ...

github логотип

GHSA-3j6g-hxx5-3q26

CVSS3: 5.9
github
больше 4 лет назад

Observable Discrepancy in Apache Kafka

EPSS

Процентиль: 80%
0.01432
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2