ГлавнаяБаза уязвимостей БДУ → BDU:2022-03778
9высокая

BDU:2022-03778 (CVE-2021-38153)

Уязвимость диспетчера сообщений Apache Kafka, связанная с недостатками разграничения доступа, позволяющая нарушителю обойти ограничения безопасности
Опубликовано: 2022-06-27
Описание

Уязвимость диспетчера сообщений Apache Kafka связана с недостатками разграничения доступа при использовании списка управления доступом ACL (Access Control List). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности с помощью специально созданного запроса

Затрагиваемое ПО и версии
Primavera Unifier (18.8)Primavera Unifier (19.12)Primavera P6 Enterprise Project Portfolio Management (от 19.12.0 до 19.12.6 включительно)Kafka (от 0.11.0.0 до 2.1.0 включительно)IBM QRadar SIEM (7.3)IBM QRadar SIEM (7.4)IBM QRadar SIEM (7.5)
Способ устранения

Использование рекомендаций:
Для Apache Kafka:
https://www.mail-archive.com/dev@kafka.apache.org/msg99277.html

Для программных продуктов IBM:
https://www.ibm.com/blogs/psirt/security-bulletin-apache-kafka-as-used-by-ibm-qradar-siem-is-vulnerable-to-information-disclosure-cve-2021-38153-cve-2018-17196/

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://www.ibm.com/blogs/psirt/security-bulletin-apache-kafka-as-used-by-ibm-qradar-siem-is-vulnerable-to-information-disclosure-cve-2021-38153-cve-2018-17196/https://bugzilla.redhat.com/show_bug.cgi?id=1732309https://access.redhat.com/security/cve/cve-2018-17196https://www.oracle.com/security-alerts/cpujul2020.htmlhttps://www.oracle.com/security-alerts/cpuoct2020.htmlhttp://www.securityfocus.com/bid/109139ThirdPartyAdvisoryhttps://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f@%3Cdev.drill.apache.org%3Ehttps://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a12ee199f5b0c1442@%3Cdev.drill.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена