PT-2021-7981 · Apache · Apache Kafka
Publicado
2019-07-10
·
Atualizado
2025-06-05
·
CVE-2021-38153
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Kafka de 2.0.0 a 2.8.0
Descrição
A vulnerabilidade no Apache Kafka está relacionada à divulgação de informações devido a uma inconsistência, permitindo que um invasor remoto execute um ataque de força bruta. Alguns componentes do Apache Kafka utilizam
Arrays.equals para validar uma senha ou chave, o que os torna vulneráveis a ataques de temporização, aumentando a probabilidade de sucesso de ataques de força bruta contra essas credenciais.Recomendações
Para as versões 2.0.0 a 2.8.0 do Apache Kafka, atualize para a versão 2.8.1 ou superior, ou para a versão 3.0.0 ou superior, nas quais essa vulnerabilidade foi corrigida. Como solução temporária, considere restringir o acesso a componentes confidenciais que utilizam
Arrays.equals para validação de senhas ou chaves até que um patch esteja disponível. Evite utilizar senhas ou chaves fracas nas versões afetadas para minimizar o risco de exploração.Correção
RCE
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Kafka