CVE-2019-12399

Versões 2.0.0 a 2.3.0 do Apache Kafka

O problema está relacionado à transmissão de dados em texto simples, permitindo que uma parte não autorizada obtenha acesso a informações protegidas. Quando os workers do Connect no Apache Kafka são configurados com um ou mais provedores de configuração e um conector é criado ou atualizado para usar uma variável secreta externalizada, qualquer cliente pode enviar uma solicitação para obter a configuração da tarefa do conector, e a resposta conterá o segredo em texto simples em vez das variáveis secretas externalizadas.

Para as versões 2.0.0 a 2.3.0 do Apache Kafka, considere desativar o uso de variáveis secretas externalizadas nos valores das propriedades de configuração do conector até que um patch esteja disponível. Restrinja o acesso ao cluster do Connect para minimizar o risco de exploração. Evite usar variáveis secretas externalizadas em subcadeias de caracteres dos valores das propriedades de configuração do conector até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.