Kritische Sicherheitslücke in Apache Kafka entdeckt: CVE-2024-27309

  1. April 2024 – Eine kritische Sicherheitslücke, die als CVE-2024-27309 identifiziert wurde, betrifft die beliebte Open-Source-Streaming-Plattform Apache Kafka. Die Entdeckung dieser Schwachstelle wurde gestern Abend von Colin McCabe von der Apache Software Foundation bekannt gegeben. Die Lücke weist auf potenzielle Fehlsteuerungen der Zugriffskontrollen während der Migration von ZooKeeper-Modus (ZK) zu KRaft-Modus in Apache Kafka hin. Folgende Versionen von Apache Kafka von dieser Schwachstelle betroffen:
  • Apache Kafka 3.5.0
  • Apache Kafka 3.5.1
  • Apache Kafka 3.5.2
  • Apache Kafka 3.6.0
  • Apache Kafka 3.6.1

Während eines Migrationsprozesses von ZooKeeper-Modus zu KRaft-Modus in Apache Kafka können in bestimmten Fällen Zugriffskontrolllisten (Access Control Lists, ACLs) nicht korrekt durchgesetzt werden. Die Schwachstelle tritt unter zwei spezifischen Voraussetzungen auf:

  1. Ein Administrator entscheidet, eine ACL zu entfernen.
  2. Die Ressource, mit der die entfernte ACL verknüpft war, bleibt weiterhin mit zwei oder mehr anderen ACLs verbunden.

Trifft dies zu, behandelt Kafka die Ressource so, als wäre sie nur mit einer einzigen ACL verknüpft, anstatt mit zwei oder mehreren, was korrekt wäre.

Dieser fehlerhafte Zustand kann behoben werden, indem alle Broker im ZK-Modus entfernt oder eine neue ACL zur betroffenen Ressource hinzugefügt wird. Nach Abschluss der Migration kommt es zu keinem Verlust von Metadaten; alle ACLs bleiben erhalten.

Die vollständige Auswirkung der Schwachstelle hängt von den während der Migration konfigurierten ACLs ab. Wurden nur ALLOW ACLs konfiguriert, wäre die Auswirkung auf die Verfügbarkeit beschränkt. Wenn jedoch DENY ACLs konfiguriert waren, könnte dies Auswirkungen auf die Vertraulichkeit und Integrität haben, da die DENY ACLs aufgrund dieser Sicherheitslücke während des Migrationszeitraums möglicherweise ignoriert werden.

Related Posts

Kritische Sicherheitslücke in FortiClient Linux: Remote Code Execution

April 2024 - Sicherheitsforscher haben eine kritische Sicherheitslücke in FortiClient Linux veröffentlicht, die eine erhebliche Bedrohung für die Sicherheit der Benutzer darstellt. Diese Sicherheitslücke, kategorisiert als ‘Unzureichende Steuerung der Codegenerierung’ (auch bekannt als ‘Code Injection’) mit CWE-94, ermöglicht es nicht authentifizierten Angreifern, beliebigen Code auszuführen, indem sie eine Schwachstelle in der Node.js-Konfiguration ausnutzen. Bei erfolgreicher Ausnutzung können Angreifer nicht autorisierten Code oder Befehle ausführen, indem sie FortiClient Linux-Benutzer dazu bringen, eine bösartige Website zu besuchen. Dies könnte schwerwiegende Folgen haben, einschließlich Datenverlust, Systemkompromittierung und unbefugtem Zugriff auf sensible Informationen. Die Lücke CVE-2023-45590 wird mit CVSSv3 Score: 9.4 / 10 als kritisch bewertet

Read More

LG Smart-TVs durch kritische Sicherheitslücken bedroht

Die Cyber Security Firma Bitdefender berichtete im April 2024 mehrere Sicherheitslücken auf LG Smart-TVs, die die WebOS-Versionen 4 bis 7 betreffen. Die Schwachstellen ermöglichten es, Root-Zugriff auf den Fernseher zu erlangen, nachdem der Autorisierungsmechanismus umgangen wurde. Obwohl der anfällige Dienst nur für den LAN-Zugriff vorgesehen ist, identifizierte die Suchmaschiene Shodan über 91.000 Geräte, die diesen Dienst im Internet freigeben.

Read More

PuTTY und FileZilla Werbeanzeigen führen auf Malware

9. April 2024 - Die Firma Malwarebytes hat bösartige Werbenzeigen für Putty und Filezilla beobachtet, die als gesponserte Ergebnisse auf Google erscheinen und dazu führen, dass die Nitrogen-Malware auf den Computern der Opfer installiert wird.

Read More