Файлы или каталоги, доступные для внешних сторон, уязвимость Improper Privilege Management в Apache Kafka Clients. Apache Kafka Clients при…

Файлы или каталоги, доступные для внешних сторон, уязвимость Improper Privilege Management в Apache Kafka Clients. Apache Kafka Clients принимает данные конфигурации для настройки поведения и включает плагины ConfigProvider для управления этими конфигурациями. Apache Kafka также предоставляет реализации FileConfigProvider, DirectoryConfigProvider и EnvVarConfigProvider, которые включают возможность чтения с диска или переменных среды. В приложениях, где конфигурации Apache Kafka Clients могут быть указаны недоверенной стороной, злоумышленники могут использовать эти ConfigProvider для чтения произвольного содержимого диска и переменных среды. В частности, этот недостаток может быть использован в Apache Kafka Connect для повышения привилегий с доступа к REST API до доступа к файловой системе/окружению, что может быть нежелательно в определенных средах, включая SaaS-продукты. Эта проблема затрагивает Apache Kafka Clients: с 2.3.0 по 3.5.2, 3.6.2, 3.7.0. Пользователям с затронутыми приложениями рекомендуется обновить kafka-clients до версии >=3.8.0 и установить системное свойство JVM "org.apache.kafka.automatic.config.providers=none". Пользователям Kafka Connect с одной из перечисленных реализаций ConfigProvider, указанных в их рабочей конфигурации, также рекомендуется добавить соответствующие "allowlist.pattern" и "allowed.paths", чтобы ограничить их работу соответствующими границами. Для пользователей Kafka Clients или Kafka Connect в средах, которые доверяют пользователям доступ к диску и переменным среды, не рекомендуется устанавливать системное свойство. Для пользователей Kafka Broker, Kafka MirrorMaker 2.0, Kafka Streams и инструментов командной строки Kafka не рекомендуется устанавливать системное свойство.