Informazioni sul CVE-2024-27309
Apache Kafka: Potential incorrect access control during migration from ZK mode to KRaft mode
CWE ID: CWE-863
Base Score (CVSS): N/A
CVE: CVE-2024-27309
Descrizione: Mentre un cluster Apache Kafka viene migrato dal modo ZooKeeper a KRaft, in alcuni casi le ACLs non verranno applicate correttamente. Due condizioni sono necessarie per attivare il bug: 1. L’amministratore decide di rimuovere un’ACL. 2. Il risorsa associata all’ACL continua a avere due o più altre ACLs associate con essa dopo la rimozione. Quando queste due condizioni sono soddisfatte, Kafka trattará la risorsa come se avesse solo una ACL associata, invece di due o più che sarebbero corrette. La condizione errata viene eliminata rimuovendo tutti i broker in modalità ZooKeeper, o aggiungendo una nuova ACL alla risorsa interessata. Una volta completata la migrazione, non si verifica perdita di metadati (le ACLs rimangono). L’impatto completo dipende dalle ACLs in uso. Se solo le ACLs ALLOW fossero configurate durante la migrazione, l’impatto sarebbe limitato all’impatto di disponibilità. Se le ACLs DENY fossero configurate, l’impatto potrebbe includere un impatto sulla riservatezza e sull’integrità a seconda delle ACLs configurate, poiché le ACLs DENY potrebbero essere ignorate durante il periodo di migrazione.**
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://lists.apache.org/thread/6536rmzyg076lzzdw2xdktvnz163mjpy
- http://www.openwall.com/lists/oss-security/2024/04/12/3
- https://security.netapp.com/advisory/ntap-20240705-0002/
Prodotti interessati
- Apache Software Foundation – Apache Kafka
Relazioni con altri prodotti
Produttore:Apache Software Foundation
Prodotto: Apache Kafka
Anno: 2024
CWE: CWE-863
CVSS: 0.0