关键信息 1. 漏洞编号: - CVE-2024-8285 2. 发布日期: - 2024年8月27日 3. 最近更新日期: - 2024年8月30日 4. 严重性: - 中等 5. 描述: - Kroxylicious在与上游Kafka服务器建立TLS安全连接时存在缺陷,未能正确验证服务器的主机名,导致不安全的连接。 6. 攻击方式: - 需要执行Man-in-the-Middle攻击或控制任何外部系统,如DNS或网络路由配置。 7. 影响: - 影响数据完整性和机密性。 8. 受影响的包和Red Hat安全补丁: - 包括多个Kroxylicious的组件,如kroxylicious-annotations、kroxylicious-api、kroxylicious-app-licenses等。 9. CVSS评分: - CVSS v3 Base Score: 7.3 - CVSS v3 Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N 10. 常见问题: - 为什么Red Hat的CVSS评分或影响与其他供应商不同? - 产品被列为“正在调查”或“受影响”,何时Red Hat会发布修复? - 如果我的产品被列为“无法修复”,我该怎么办? - 什么是缓解措施? - 我有Red Hat产品,但不在上述列表中,是否受影响? - 为什么我的安全扫描器报告我的产品存在此漏洞,尽管我的产品版本已修复或不受影响? 其他信息 外部参考: - CVE-2024-8285的详细信息 - NVD详细信息 免责声明: - 该页面由系统自动生成,未进行错误或遗漏检查。 - 有关澄清或更正,请联系Red Hat产品安全团队。 版权: - CVE描述版权 © 2021