阿里云漏洞库

中危 Apache Kafka 0.11.0.0/2.1.0 ACL Validation Request 输入验证漏洞

CVE编号

CVE-2018-17196

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-07-12

漏洞描述

在0.11.0.0和2.1.0之间的Apache Kafka版本中，可以手动创建一个绕过transaction/idempotent ACL验证的生成请求。只有对相关主题具有写权限的经过身份验证的客户端才能利用此漏洞。用户应该升级到2.1.1或更高版本，这个漏洞已经修复。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://www.securityfocus.com/bid/109139
https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d...
https://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a...
https://lists.apache.org/thread.html/d1581fb6464c9bec8a72575c01f5097d68e2fbb2...
https://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34...
https://lists.apache.org/thread.html/r66de86b9a608c1da70b2d27d765c11ec88edf6e...
https://lists.apache.org/thread.html/r8890b8f18f1de821595792b58b968a89692a255...
https://lists.apache.org/thread.html/rc27d424d0bdeaf31081c3e246db3c66e882243a...
https://www.mail-archive.com/dev%40kafka.apache.org/msg99277.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	kafka	*	From (including) 0.11.0.0	Up to (including) 2.1.0

攻击路径

远程
攻击复杂度

复杂
权限要求

普通权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
NVD-CWE-noinfo