哪些版本的Kafka受到CVE-2021-44228的影响?
Apache Kafka安全漏洞上尚未更新有关此漏洞的任何信息。
更新2021-12-15
APACHE KAFKA安全漏洞已确认:
- CVE-2021-45046
用户不应受到此漏洞的影响
- CVE-2021-44228
用户不应受到此漏洞的影响
- CVE-2021-4104
Log4J的1.x版本可以配置为使用JMS Appender,它将日志事件发布到JMS主题。如果已部署的应用程序配置为使用JMSAppender,则Log4j 1.x易受攻击。
因此,请查看网站了解详细信息。
更新2021-12-13
正如牛所暗示的,log4j1.x也可能受到这种脆弱性的影响。
严格来说,如果使用Log4j 1.x的应用程序的配置使用JNDI,则它们可能会受到影响。然而,风险要低得多。
请参阅此链接了解最新状态。
未使用log4j2的证据
通过检查Kafka的dependencies.gradle:
1.0.0和3.0.0两者都使用1.2.17。
由于该问题影响了从2.0-beta9到2.14.1的版本,Kafka不受此安全漏洞的影响。