Tim Fox

Nome do software vulnerável e versões afetadas: Versões do Apache Kafka de 0.10.2.0 a 3.9.0 Descrição: O problema está relacionado à implementação incorreta do Mecanismo de Autenticação Salted Challenge Response (SCRAM) no Apache Kafka. Especificamente, o servidor não verifica se o nonce enviado pelo cliente na segunda mensagem corresponde ao nonce enviado pelo servidor na primeira mensagem, conforme exigido pela RFC 5802. Essa vulnerabilidade só pode ser explorada quando um invasor tem acesso ao texto simples da troca de autenticação SCRAM. Implantações que utilizam SCRAM com TLS não são afetadas por este problema. Recomendações: Para mitigar este problema, recomenda-se que os usuários atualizem para a versão 3.7.2 ou posterior. Para usuários que não possam atualizar para as versões corrigidas, considere o seguinte: - Use TLS com autenticação SCRAM: Implante sempre o SCRAM sobre TLS para criptografar as trocas de autenticação e proteger contra interceptação. - Considere mecanismos de autenticação alternativos: avalie mecanismos de autenticação alternativos, como PLAIN, Kerberos ou OAuth com TLS, que oferecem camadas adicionais de segurança.