Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-10294

Опубликовано: 28 мар. 2024
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость компонента Automatic ConfigProvider диспетчера сообщений Apache Kafka связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию

Вендор

Red Hat Inc.
ООО «Ред Софт»
Apache Software Foundation

Наименование ПО

Red Hat Data Grid
РЕД ОС
Red Hat build of Apache Camel for Quarkus
Apache Kafka
Red Hat build of Apache Camel for Spring Boot

Версия ПО

8 (Red Hat Data Grid)
7.3 (РЕД ОС)
- (Red Hat build of Apache Camel for Quarkus)
от 2.3.0 до 3.5.2 включительно (Apache Kafka)
от 3.6.0 до 3.6.2 включительно (Apache Kafka)
3.7.0 (Apache Kafka)
4.8 (Red Hat build of Apache Camel for Spring Boot)

Тип ПО

Прикладное ПО информационных систем
Операционная система

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Apache Kafka:
https://lists.apache.org/thread/7lpvzhfgonhr1cyd4ftdjcgdhmbmnm93
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-31141
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 26%
0.00086
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20241216-09

CVSS3: 6.5
redos
6 месяцев назад

Уязвимость apache-kafka

redhat логотип

CVE-2024-31141

CVSS3: 5.3
redhat
7 месяцев назад

Files or Directories Accessible to External Parties, Improper Privilege Management vulnerability in Apache Kafka Clients. Apache Kafka Clients accept configuration data for customizing behavior, and includes ConfigProvider plugins in order to manipulate these configurations. Apache Kafka also provides FileConfigProvider, DirectoryConfigProvider, and EnvVarConfigProvider implementations which include the ability to read from disk or environment variables. In applications where Apache Kafka Clients configurations can be specified by an untrusted party, attackers may use these ConfigProviders to read arbitrary contents of the disk and environment variables. In particular, this flaw may be used in Apache Kafka Connect to escalate from REST API access to filesystem/environment access, which may be undesirable in certain environments, including SaaS products. This issue affects Apache Kafka Clients: from 2.3.0 through 3.5.2, 3.6.2, 3.7.0. Users with affected applications are recommended t...

nvd логотип

CVE-2024-31141

CVSS3: 6.5
nvd
7 месяцев назад

Files or Directories Accessible to External Parties, Improper Privilege Management vulnerability in Apache Kafka Clients. Apache Kafka Clients accept configuration data for customizing behavior, and includes ConfigProvider plugins in order to manipulate these configurations. Apache Kafka also provides FileConfigProvider, DirectoryConfigProvider, and EnvVarConfigProvider implementations which include the ability to read from disk or environment variables. In applications where Apache Kafka Clients configurations can be specified by an untrusted party, attackers may use these ConfigProviders to read arbitrary contents of the disk and environment variables. In particular, this flaw may be used in Apache Kafka Connect to escalate from REST API access to filesystem/environment access, which may be undesirable in certain environments, including SaaS products. This issue affects Apache Kafka Clients: from 2.3.0 through 3.5.2, 3.6.2, 3.7.0. Users with affected applications are recommended

github логотип

GHSA-2x2g-32r7-p4x8

CVSS3: 6.5
github
7 месяцев назад

Apache Kafka Clients: Privilege escalation to filesystem read-access via automatic ConfigProvider

EPSS

Процентиль: 26%
0.00086
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2