南京企业制作网站,建设工程类网站,龙泉建设局网站,领先的手机网站设计zhi.oscs1024.com 漏洞类型反序列化发现时间2023-08-24漏洞等级中危MPS编号MPS-fed8-ocuvCVE编号CVE-2023-34040漏洞影响广度小 漏洞危害
OSCS 描述Spring Kafka 是 Spring Framework 生态系统中的一个模块#xff0c;用于简化在 Spring 应用程序中集成 Apache Kaf… zhi.oscs1024.com 漏洞类型反序列化发现时间2023-08-24漏洞等级中危MPS编号MPS-fed8-ocuvCVE编号CVE-2023-34040漏洞影响广度小 漏洞危害
OSCS 描述Spring Kafka 是 Spring Framework 生态系统中的一个模块用于简化在 Spring 应用程序中集成 Apache Kafka 的过程记录(record)指 Kafka 消息中的一条记录。 受影响版本中默认未对记录配置 ErrorHandlingDeserializer当用户将容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true(默认未false)并且允许不受信任的源发布到 Kafka 主题中时攻击者可将恶意 payload 注入到 Kafka 主题中当反序列化记录头时远程执行任意代码。参考链接https://www.oscs1024.com/hd/MPS-fed8-ocuv
Spring Security Advisories 描述在 Apache Kafka 3.0.9 及更早版本以及 2.9.10 及更早版本的 Spring 中存在可能的反序列化攻击向量但前提是应用了异常配置。攻击者必须在反序列化异常记录标头之一中构造恶意序列化对象。参考链接https://spring.io/security/cve-2023-34040 影响范围及处置方案
OSCS 平台影响范围和处置方案
影响范围处置方式处置方法org.springframework.kafka:spring-kafka [2.8.1, 2.9.11)更新升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本缓解措施为记录的键或值配置 ErrorHandlingDeserializer 不使用 ErrorHandlingDeserializers 时勿设置容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true补丁官方已发布补丁https://github.com/spring-projects/spring-kafka/commit/ddd1a96561e70599d8332b0907ec00df930d324borg.springframework.kafka:spring-kafka [3.0.0, 3.0.10)更新升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本参考链接https://www.oscs1024.com/hd/MPS-fed8-ocuv
Spring Security Advisories 平台影响范围和处置方案
影响范围处置方式处置方法Spring for Apache Kafka 2.8.1 to 2.9.10更新升级 Spring for Apache Kafka 到2.9.11或更高版本缓解措施2.8.x and 2.9.x users should upgrade to 2.9.11Spring for Apache Kafka 3.0.0 to 3.0.9更新升级 Spring for Apache Kafka 到3.0.10缓解措施3.0.x users should upgrade to 3.0.10参考链接https://spring.io/security/cve-2023-34040 排查方式 方式1使用漏洞检测CLI工具来排查 使用文档https://www.murphysec.com/docs/faqs/integration/cli.html 方式2使用漏洞检测IDEA插件排查 使用文档https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html 方式3接入GitLab进行漏洞检测排查 使用文档https://www.murphysec.com/docs/faqs/integration/gitlab.html 更多排查方式https://www.murphysec.com/docs/faqs/integration/ 关于墨知
墨知是国内首个专注软件供应链安全领域的技术社区社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析SCA、开源许可证合规等前沿技术及最佳实践。
墨知主要内容分类
漏洞分析漏洞_墨知 (oscs1024.com)投毒分析投毒分析_墨知 (oscs1024.com)行业动态行业动态_墨知 (oscs1024.com)行业研究行业研究_墨知 (oscs1024.com)工具推荐工具推荐_墨知 (oscs1024.com)最佳实践最佳实践_墨知 (oscs1024.com)技术科普技术科普_墨知 (oscs1024.com)
墨知通过促进知识共享、技术研究和合作交流帮助组织和个人提高软件供应链的安全性减少供应链攻击的风险并保护软件生态系统的整体安全。
进入社区https://zhi.oscs1024.com/ 原文来自https://zhi.oscs1024.com/5170.html
