重要情報 脆弱性情報 CVE番号: CVE-2024-31141 影響を受けるバージョン: - Apache Kafka Clients 2.3.0 から 3.5.2 - Apache Kafka Clients 3.6.0 から 3.6.2 - Apache Kafka Clients 3.7.0 から 3.7.1 影響 概要: Apache Kafka Clients は動作をカスタマイズするための設定データを受け取り、これらの設定を操作するための プラグインを備えています。Apache Kafka には、ディスクまたは環境変数から読み取り機能を備えた 、 、および の実装も含まれています。 影響: Apache Kafka Clients の設定が信頼できない第三者によって指定される可能性があるアプリケーションにおいて、攻撃者はこれらの を使用して、ディスクや環境変数の任意の内容を読み取ることができます。 修正推奨事項 影響を受けるアプリケーションでは、 をバージョン >=3.8.0 にアップグレードし、JVMシステムプロパティ を設定することを推奨します。 Kafka Connect ユーザーでは、ワーカー設定に適切な と を追加して、操作の範囲を制限することを推奨します。 信頼できる環境 ディスクや環境変数へのアクセスを信頼する Kafka Clients または Kafka Connect ユーザーの場合、システムプロパティの設定は推奨されません。 Kafka Broker、Kafka MirrorMaker 2.0、Kafka Streams、および Kafka コマンドラインツールのユーザーの場合、システムプロパティの設定は推奨されません。 クレジット 発見者: Greg Harris 修正レビュー: Mickael Maison 及び Chris Egerton 参照リンク Apache Kafka 公式サイト CVE-2024-31141