近日，我司监测到Apache发布安全公告，修复了一个存在于Apache Kafka中的远程代码执行漏洞，经过身份认证的攻击者可以创建/修改Connect，将任意Kafka客户端的sasl.jaas.config属性设置为com.sun.security.auth.module.JndiLoginModule，这个操作可以通过producer.override.sasl.jaas.config、consumer.override.sasl.jaas.config或者admin.override.sasl.jaas.config 属性完成。这将允许服务器连接到攻击者的LDAP服务器并通过Connect反序列化LDAP响应远程执行恶意代码。

Apache Kafka是一个开源消息系统项目，由Scala写成。该项目的目标是为处理实时数据提供一个统一、高通量、低等待的平台。

影响版本:

• 2.3.0 <= Apache Kafka < 3.4.0

安全版本:

• Apache Kafka >= 3.4.0

修复建议：

官方已经针对漏洞发布了版本更新，下载地址如下：

https://kafka.apache.org/downloads