Apache Druid RCE漏洞复现及修复(CVE-2023-25194) 2023-03-16 声明:本文分享的安全工具和项目均来源于网络,漏洞环境本地搭建,仅供安全研究与学习,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 瓜神学习网络安全 本公众号记录网络安全学
修复方案:更新Apache Kafka至官方最新版本,以修复该漏洞。RASP防护:业务优先模式:RASP会在JNDI注入处出现告警并拦截命令执行,堆栈信息显示拦截情况。防护模式:攻击在JNDI注入处直接被拦截,同样可见堆栈信息。RASP对javax.naming.InitialContext.lookup调用进行防护策略检测,从而在此处拦截攻击。四、漏洞详细...
这里是没有插件的,所以需要安装插件。这里要复现CVE-2023-25194,需要使用io.debezium.connector.mysql.MySqlConnector类,所以需要配置Debezium MySQL 连接器配置属性 安装Debezium https://debezium.io/releases/2.1/ 这里根据自己环境安装,比较友好的时不同的版本有介绍需要的java版本,因为我的java环境为1.8+的,所以这里...
CVE-2023-25194是一个远程代码执行漏洞,影响Apache Kafka Connect。攻击者可以利用该漏洞通过配置Kafka连接属性触发JNDI注入,最终执行任意代码。这个漏洞主要出现在Apache Druid使用Apache Kafka加载数据的场景中,但其他使用Apache Kafka Connect的产品也可能受到影响。 2. 搭建含有CVE-2023-25194漏洞的环境 我们可以使用vulhu...
这里要复现CVE-2023-25194,需要使用io.debezium.connector.mysql.MySqlConnector类,所以需要配置Debezium MySQL 连接器配置属性 安装Debezium debezium.io/releases/2. 这里根据自己环境安装,比较友好的时不同的版本有介绍需要的java版本,因为我的java环境为1.8+的,所以这里我选择的版本比较老 在kafka的安装目录创建一个...
【高危】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194),简介ApacheKafka是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。KafkaConnect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。者可以利用基于SASLJAAS配
Kafka Connect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。攻击者可以利用基于SASLJAAS 配置和SASL 协议的任意Kafka客户端,对Kafka Connect worker 创建或修改连接器时,通过构造特殊的配置,进行JNDI 注入来实现远程代码执行。 影响版本
Apache Kafka JNDI注入(CVE-2023-25194)漏洞复现浅析 关于 Apache Kafka是一个开源的分布式事件流平台,被数千家公司用于高性能数据管道、流分析、数据集成和任务关键型应用程序。 影响版本 2.4.0<=Apache kafka<=3.2.2 环境搭建 满足影响版本的应该都可以,这里我是使用的版本为2.5.0...
这里是没有插件的,所以需要安装插件。这里要复现CVE-2023-25194,需要使用io.debezium.connector.mysql.MySqlConnector类,所以需要配置Debezium MySQL 连接器配置属性 安装Debezium https://debezium.io/releases/2.1/ 这里根据自己环境安装,比较友好的时不同的版本有介绍需要的java版本,因为我的java环境为1.8+的,所以这里...
漏洞复现包括构造 payload 并执行新建 /tmp/test.txt 文件。验证存在漏洞,文件新建成功。开启 RASP(运行时应用自我保护)后,发起攻击请求。在业务优先模式下,RASP 会在 JNDI 注入处出现告警并拦截命令执行,堆栈信息显示拦截情况。在防护模式下,攻击在 JNDI 注入处直接被拦截,同样可见堆栈信息。详细...