CVE-2021-38153— Apache Kafka 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2021-38153の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Timing Attack Vulnerability for Apache Kafka Connect and Clients
ソース: NVD (National Vulnerability Database)
脆弱性説明
Some components in Apache Kafka use `Arrays.equals` to validate a password or key, which is vulnerable to timing attacks that make brute force attacks for such credentials more likely to be successful. Users should upgrade to 2.8.1 or higher, or 3.0.0 or higher where this vulnerability has been fixed. The affected versions include Apache Kafka 2.0.0, 2.0.1, 2.1.0, 2.1.1, 2.2.0, 2.2.1, 2.2.2, 2.3.0, 2.3.1, 2.4.0, 2.4.1, 2.5.0, 2.5.1, 2.6.0, 2.6.1, 2.6.2, 2.7.0, 2.7.1, and 2.8.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
通过差异性导致的信息暴露
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Apache Kafka 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Apache Kafka是美国阿帕奇(Apache)基金会的一套开源的分布式流媒体平台。该平台能够获取实时数据,用于构建对数据流的变化进行实时反应的应用程序。 Apache Kafka 存在安全漏洞,该漏洞源于 Apache Kafka 中的某些组件使用Arrays.equals来验证密码或密钥,容易受到定时攻击。本地用户可以滥用Arrays.equals来暴力破解访问凭据并提升系统权限。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| Apache Software Foundation | Apache Kafka | Apache Kafka 2.0.x ~ 2.0.1 | - |
II. CVE-2021-38153の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2021-38153のインテリジェンス情報
请登录查看更多情报信息。
- https://www.oracle.com/security-alerts/cpujan2022.htmlx_refsource_MISC
- https://www.oracle.com/security-alerts/cpujul2022.htmlx_refsource_MISC
- https://www.oracle.com/security-alerts/cpuapr2022.htmlx_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2021-38153
IV. 関連脆弱性
同じ製品: Apache Kafka
- CVE-2026-33557
Apache Kafka: Missing JWT token validation in OAUTHBEARER au - CVE-2026-33558
Apache Kafka, Apache Kafka Clients: Information Exposure Thr - CVE-2025-27819
Apache Kafka: Possible RCE/Denial of service attack via SASL - CVE-2025-27818
Apache Kafka: Possible RCE attack via SASL JAAS LdapLoginMod - CVE-2024-56128
Apache Kafka: SCRAM authentication vulnerable to replay atta
同じベンダー: Apache Software Foundation
- CVE-2026-39816
Apache NiFi: Missing Execute Code Required Permission on Tin - CVE-2026-25199
Apache CloudStack: Proxmox Extension Allows Unauthorized Cro - CVE-2026-25077
Apache CloudStack: Unauthenticated Command Injection in Dire - CVE-2025-69233
Apache CloudStack: Domain/account resources limits not honor - CVE-2025-66467
Apache CloudStack: MinIO policy remains intact on bucket del
同じ弱点: CWE-203
- CVE-2026-44263
Weblate: Private Translation Enumeration via Screenshot API - CVE-2023-5872
Wago: Vulnerability in Smart Designer Web-Application - CVE-2026-33429
Parse Server: Protected field change detection oracle via Li - CVE-2026-33425
Discourse has inferable private group membership or existenc - CVE-2026-3580
Compiler-induced timing leak in sp_256_get_entry_256_9 on RI
V. CVE-2021-38153へのコメント
まだコメントはありません