CVE-2021-38153

Опубликовано: 22 сент. 2021

Источник: nvd

CVSS3: 5.9

CVSS2: 4.3

EPSS Низкий

Описание

Some components in Apache Kafka use Arrays.equals to validate a password or key, which is vulnerable to timing attacks that make brute force attacks for such credentials more likely to be successful. Users should upgrade to 2.8.1 or higher, or 3.0.0 or higher where this vulnerability has been fixed. The affected versions include Apache Kafka 2.0.0, 2.0.1, 2.1.0, 2.1.1, 2.2.0, 2.2.1, 2.2.2, 2.3.0, 2.3.1, 2.4.0, 2.4.1, 2.5.0, 2.5.1, 2.6.0, 2.6.1, 2.6.2, 2.7.0, 2.7.1, and 2.8.0.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:kafka:*:*:*:*:*:*:*:*

Версия от 2.0.0 (включая) до 2.6.3 (исключая)

cpe:2.3:a:apache:kafka:*:*:*:*:*:*:*:*

Версия от 2.7.0 (включая) до 2.7.2 (исключая)

cpe:2.3:a:apache:kafka:2.8.0:-:*:*:*:*:*:*

Конфигурация 2

cpe:2.3:a:quarkus:quarkus:*:*:*:*:*:*:*:*

Версия до 2.2.4 (исключая)

Конфигурация 3

Одно из

cpe:2.3:a:oracle:communications_brm_-_elastic_charging_engine:*:*:*:*:*:*:*:*

Версия до 12.0.0.4.6 (исключая)

cpe:2.3:a:oracle:communications_brm_-_elastic_charging_engine:12.0.0.5.0:*:*:*:*:*:*:*

cpe:2.3:a:oracle:communications_cloud_native_core_policy:1.15.0:*:*:*:*:*:*:*

cpe:2.3:a:oracle:financial_services_analytical_applications_infrastructure:*:*:*:*:*:*:*:*

Версия от 8.0.6.0 (включая) до 8.0.9.0 (включая)

cpe:2.3:a:oracle:financial_services_analytical_applications_infrastructure:*:*:*:*:*:*:*:*

Версия от 8.1.0.0.0 (включая) до 8.1.20 (включая)

cpe:2.3:a:oracle:financial_services_behavior_detection_platform:*:*:*:*:*:*:*:*

Версия от 8.0.6.0.0 (включая) до 8.0.8.0 (включая)

cpe:2.3:a:oracle:financial_services_behavior_detection_platform:8.1.1.0:*:*:*:*:*:*:*

cpe:2.3:a:oracle:financial_services_behavior_detection_platform:8.1.1.1:*:*:*:*:*:*:*

cpe:2.3:a:oracle:financial_services_behavior_detection_platform:8.1.2.0:*:*:*:*:*:*:*

cpe:2.3:a:oracle:financial_services_enterprise_case_management:8.0.7.1:*:*:*:*:*:*:*

cpe:2.3:a:oracle:financial_services_enterprise_case_management:8.0.7.2:*:*:*:*:*:*:*

cpe:2.3:a:oracle:financial_services_enterprise_case_management:8.0.8.0:*:*:*:*:*:*:*

cpe:2.3:a:oracle:financial_services_enterprise_case_management:8.0.8.1:*:*:*:*:*:*:*

cpe:2.3:a:oracle:financial_services_enterprise_case_management:8.1.1.0:*:*:*:*:*:*:*

cpe:2.3:a:oracle:financial_services_enterprise_case_management:8.1.1.1:*:*:*:*:*:*:*

cpe:2.3:a:oracle:primavera_unifier:18.8:*:*:*:*:*:*:*

cpe:2.3:a:oracle:primavera_unifier:19.12:*:*:*:*:*:*:*

cpe:2.3:a:oracle:primavera_unifier:20.12:*:*:*:*:*:*:*

cpe:2.3:a:oracle:primavera_unifier:21.12:*:*:*:*:*:*:*

EPSS

Процентиль: 80%

0.01432

Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-203

Связанные уязвимости

CVE-2021-38153

CVSS3: 5.9

ubuntu

больше 4 лет назад

Some components in Apache Kafka use `Arrays.equals` to validate a password or key, which is vulnerable to timing attacks that make brute force attacks for such credentials more likely to be successful. Users should upgrade to 2.8.1 or higher, or 3.0.0 or higher where this vulnerability has been fixed. The affected versions include Apache Kafka 2.0.0, 2.0.1, 2.1.0, 2.1.1, 2.2.0, 2.2.1, 2.2.2, 2.3.0, 2.3.1, 2.4.0, 2.4.1, 2.5.0, 2.5.1, 2.6.0, 2.6.1, 2.6.2, 2.7.0, 2.7.1, and 2.8.0.

CVE-2021-38153

CVSS3: 5.9

redhat

больше 4 лет назад

CVE-2021-38153

CVSS3: 5.9

debian

больше 4 лет назад

Some components in Apache Kafka use `Arrays.equals` to validate a pass ...

GHSA-3j6g-hxx5-3q26

CVSS3: 5.9

github

больше 4 лет назад

Observable Discrepancy in Apache Kafka

BDU:2024-00046

CVSS3: 5.9

fstec

больше 4 лет назад

Уязвимость диспетчера сообщений Apache Kafka, позволяющая нарушителю реализовать атаку методом «грубой силы» (brute force)

EPSS

Процентиль: 80%

0.01432

Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-203