Во время миграции кластера Apache Kafka из режима ZooKeeper в режим KRaft в некоторых случаях ACL не будут правильно применяться. Для того …

Во время миграции кластера Apache Kafka из режима ZooKeeper в режим KRaft в некоторых случаях ACL не будут правильно применяться. Для того чтобы вызвать ошибку, нужны две предварительные условия: 1. Администратору решает удалить ACL 2. Ресурс, связанный с удаленным ACL, продолжает иметь два или более других ACL, связанных с ним после удаления. Когда выполнены оба этих предварительных условия, Kafka будет рассматривать ресурс так, как будто у него был только один ACL связанный с ним после удаления, а не два или более, что было бы правильно. Неправильное состояние устраняется удалением всех брокеров в режиме ZK или добавлением нового ACL к затронутому ресурсу. После завершения миграции потеря метаданных не происходит (все ACL остаются). Полное воздействие зависит от используемых ACL. Если во время миграции были настроены только ACL УПРОЩЕНИЯ, влияние будет ограничено воздействием на доступность. Если были настроены ACL ОТКАЗ, влияние может включать конфиденциальность и целостность в зависимости от настроенных ACL, так как ACL ОТКАЗ могут быть проигнорированы из-за этой уязвимости в течение периода миграции.