kafka-python 2.3.2 之前版本 SCRAM 迭代计数拒绝服务漏洞 漏洞概述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 影响范围 kafka-python < 2.3.2 修复方案 升级到 kafka-python 2.3.2 或更高版本。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡献者 Katriel Moses 描述 kafka-python 2.3.2 之前版本存在一个拒绝服务漏洞,该漏洞允许恶意或中间人代理通过提供过大的迭代计数来冻结客户端事件循环。在 scram.py 中,ScramClient.process_server_first_message() 方法将代理控制的 SCRAM 迭代计数直接传递给 hashlib.pbkdf2_hmac(),而没有进行验证,从而阻止生产者发送、消费者轮询、管理操作和心跳,这可能导致消费者组驱逐和重复重连失败。 参考链接 Pull Request Patch Commit Pull Request 贡