← volver
CVE-2021-38153

Timing Attack Vulnerability for Apache Kafka Connect and Clients

EPSS 5.8%CWE-203
En resumen

Apache Kafka utiliza un método inseguro para comparar contraseñas y claves, permitiendo que atacantes adivinen credenciales más rápido midiendo tiempos de respuesta. Esta debilidad basada en tiempo hace que los ataques de fuerza bruta sean más prácticos.

Detalle técnico

La vulnerabilidad existe en la lógica de validación de contraseñas/claves que utiliza Arrays.equals, que no es constant-time y filtra información a través de variaciones en la duración de ejecución. Un atacante puede explotar este side-channel de tiempo para diferenciar intentos de credenciales correctas de las incorrectas y acelerar ataques de fuerza bruta contra los mecanismos de autenticación de Kafka Connect y clientes.

Resumen generado y traducido por IA a partir de la descripción oficial.
Some components in Apache Kafka use `Arrays.equals` to validate a password or key, which is vulnerable to timing attacks that make brute force attacks for such credentials more likely to be successful. Users should upgrade to 2.8.1 or higher, or 3.0.0 or higher where this vulnerability has been fixed. The affected versions include Apache Kafka 2.0.0, 2.0.1, 2.1.0, 2.1.1, 2.2.0, 2.2.1, 2.2.2, 2.3.0, 2.3.1, 2.4.0, 2.4.1, 2.5.0, 2.5.1, 2.6.0, 2.6.1, 2.6.2, 2.7.0, 2.7.1, and 2.8.0.
Productos afectados
Apache Software Foundation · Apache Kafka

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://kafka.apache.org/cve-listhttps://lists.apache.org/thread.html/r26390c8b09ecfa356582d665b0c01f4cdcf16ac047c85f9f9f06a88c%40%3Cdev.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/r26390c8b09ecfa356582d665b0c01f4cdcf16ac047c85f9f9f06a88c%40%3Cusers.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/r35322aec467ddae34002690edaa4d9f16e7df9b5bf7164869b75b62c%40%3Cdev.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/r45cc0602d5f2cbb72e48896dfadf5e5b87ed85630449598b40e8f0be%40%3Cdev.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/r45cc0602d5f2cbb72e48896dfadf5e5b87ed85630449598b40e8f0be%40%3Cusers.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/rd9ef217b09fdefaf32a4e1835b59b96629542db57e1f63edb8b006e6%40%3Cdev.kafka.apache.org%3Ehttps://lists.apache.org/thread.html/rd9ef217b09fdefaf32a4e1835b59b96629542db57e1f63edb8b006e6%40%3Cusers.kafka.apache.org%3Ehttps://www.oracle.com/security-alerts/cpuapr2022.htmlhttps://www.oracle.com/security-alerts/cpujan2022.htmlhttps://www.oracle.com/security-alerts/cpujul2022.html