BDU:2021-01001: Уязвимость компонента Connect workers диспетчера сообщений Apache Kafka, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Детали уязвимости BDU:2021-01001
Описание
Уязвимость компонента Connect workers диспетчера сообщений Apache Kafka связана с передачей данных в открытом виде. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Что делать с BDU:2021-01001
Высокая уязвимость (CVSS 7.5) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:NAV:N/AC:L/Au:N/C:C/I:N/A:NCVE — международный идентификатор
Программа непреднамеренно раскрывает конфиденциальные данные: стек вызовов, пути, credentials.
Как атакуют и что делать ▾
Сценарий атаки
Сервер возвращает стек вызовов, пути к файлам, версии ПО, SQL-запросы в сообщениях об ошибках.
Последствия
Утечка внутренней архитектуры, помогает атакующему планировать дальнейшие шаги.
Рекомендации
Отключите подробные ошибки в production, используйте generic error pages, логируйте на сервере.
Тактики и техники
Уязвимое ПО (26)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| Red Hat Inc. | Red Hat AMQ Streams | 1 | Не указана |
| Oracle Corp. | Banking Platform | 2.7.0 | Не указана |
| Oracle Corp. | Financial Services Analytical Applications Infrastructure | от 8.0.6 до 8.1.0 включительно | Не указана |
| Oracle Corp. | Oracle Banking Liquidity Management | от 14.0.0 до 14.4.0 включительно | Не указана |
| Oracle Corp. | Oracle Banking Credit Facilities Process Management | 14.1.0 | Не указана |
| Oracle Corp. | Oracle Banking Credit Facilities Process Management | 14.3.0 | Не указана |
| Oracle Corp. | Oracle Banking Credit Facilities Process Management | 14.4.0 | Не указана |
| Oracle Corp. | Oracle Banking Payments | 14.4.0 | Не указана |
| Oracle Corp. | Oracle Banking Supply Chain Finance | от 14.2.0 до 14.4.0 включительно | Не указана |
| Oracle Corp. | Oracle Banking Trade Finance Process Management | 14.1.0 | Не указана |
| Oracle Corp. | Oracle Banking Trade Finance Process Management | 14.3.0 | Не указана |
| Oracle Corp. | Oracle Banking Trade Finance Process Management | 14.4.0 | Не указана |
| Oracle Corp. | Oracle Banking Virtual Account Management | 14.1.0 | Не указана |
| Oracle Corp. | Oracle Banking Virtual Account Management | 14.3.0 | Не указана |
| Oracle Corp. | Oracle Banking Virtual Account Management | 14.4.0 | Не указана |
| Oracle Corp. | Oracle Banking Corporate Lending Process Management | 14.1.0 | Не указана |
| Oracle Corp. | Oracle Banking Corporate Lending Process Management | 14.3.0 | Не указана |
| Oracle Corp. | Oracle Banking Corporate Lending Process Management | 14.4.0 | Не указана |
| Oracle Corp. | Oracle FLEXCUBE Universal Banking | 14.4.0 | Не указана |
| Apache Software Foundation | Kafka | 2.0.0 | Не указана |
| Apache Software Foundation | Kafka | 2.0.1 | Не указана |
| Apache Software Foundation | Kafka | 2.1.0 | Не указана |
| Apache Software Foundation | Kafka | 2.1.1 | Не указана |
| Apache Software Foundation | Kafka | 2.2.0 | Не указана |
| Apache Software Foundation | Kafka | 2.2.1 | Не указана |
| Apache Software Foundation | Kafka | 2.3.0 | Не указана |
Рекомендации по устранению
Использование рекомендаций: Для Apache: https://lists.apache.org/thread.html/r0e3a613705d70950aca2bfe9a6265c87503921852d9a3dbce512ca9f@%3Ccommits.druid.apache.org%3E https://lists.apache.org/thread.html/r2d390dec5f360ec8aa294bef18e1a4385e2a3698d747209216f5a48b@%3Ccommits.druid.apache.org%3E https://lists.apache.org/thread.html/r3154f5adbc905f1f9012a92240c8e00a96628470cc819453b9606d0e@%3Ccommits.druid.apache.org%3E https://lists.apache.org/thread.html/r3203d7f25a6ca56ff3e48c43a6aa7cb60b8e5d57d0eed9f76dc2b7a8@%3Ccommits.druid.apache.org%3E https://lists.apache.org/thread.html/r47c225db363d1ee2c18c4b3b2f51b63a9789f78c7fa602e5976ecd05@%3Ccommits.druid.apache.org%3E https://lists.apache.org/thread.html/r4b20b40c40d4a4c641e2ef4228098a57935e5782bfdfdf3650e48265@%3Ccommits.druid.apache.org%3E https://lists.apache.org/thread.html/r4d9e87cdae99e98d7b244cfa53d9d2532d368d3a187fbc87c493dcbe@%3Ccommits.druid.apache.org%3E https://lists.apache.org/thread.html/r56eb055b544931451283fee51f7e1f5b8ebd3085fed7d77aaba504c9@%3Ccommits.druid.apache.org%3E https://lists.apache.org/thread.html/r6af5ed95726874e9add022955be83c192428c248d1c9a1914aff89d9%40%3Cdev.kafka.apache.org%3E https://lists.apache.org/thread.html/r6af5ed95726874e9add022955be83c192428c248d1c9a1914aff89d9@%3Cannounce.apache.org%3E https://lists.apache.org/thread.html/r6af5ed95726874e9add022955be83c192428c248d1c9a1914aff89d9@%3Cusers.kafka.apache.org%3E https://lists.apache.org/thread.html/r6fa1cff4786dcef2ddd1d717836ef123c878e8321c24855bad24ae0f@%3Ccommits.druid.apache.org%3E https://lists.apache.org/thread.html/r801c68bf987931f35d2e24ecc99f3aa2850fdd8f5ef15fe6c60fecf3@%3Ccommits.druid.apache.org%3E https://lists.apache.org/thread.html/r8890b8f18f1de821595792b58b968a89692a255bc20d86d395270740@%3Ccommits.druid.apache.org%3E https://lists.apache.org/thread.html/r9871a4215b621c1d09deee5eba97f0f44fde01b4363deb1bed0dd160@%3Ccommits.druid.apache.org%3E https://lists.apache.org/thread.html/rc27d424d0bdeaf31081c3e246db3c66e882243ae3f342dfa845e0261@%3Ccommits.kafka.apache.org%3E https://lists.apache.org/thread.html/rde947ee866de6687bc51cdc8dfa6d7e6b3ad4ce8c708c344f773e6dc@%3Ccommits.druid.apache.org%3E https://lists.apache.org/thread.html/rfe90ca0463c199b99c2921410639aed53a172ea8b733eab0dc776262@%3Ccommits.druid.apache.org%3E Для программных продуктов Oracle: https://www.oracle.com/security-alerts/cpujan2021.html https://www.oracle.com//security-alerts/cpujul2021.html https://www.oracle.com/security-alerts/cpuApr2021.html https://www.oracle.com/security-alerts/cpuapr2022.html Для программных продуктов Red Hat.: https://access.redhat.com/security/cve/cve-2019-12399
SLA ФСТЭК №117
7 дней
по базовой оценке CVSS 7.5
Уточните SLA под вашу среду
Базовый балл 7.5 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.
Пересчитать CVSS с учётом средыThreat Intelligence
SSVC: Отслеживать (повышенный)
Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.
Вероятность эксплуатации в 30 дней (FIRST EPSS)
Информация
Обнаружена
2020-01-13
Опубликована
2021-03-02
Обновлена
2022-06-14
Эксплойт
Данные уточняются
Исправление
Уязвимость устранена
Статус
Подтверждена производителем
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Связанные уязвимости
BDU:2026-08896Уязвимость компонента Platform платформы для аналитики и управления данными Oracle Financial Services Analytical Applica
BDU:2026-06346Уязвимость диспетчера сообщений Apache Kafka, связанная с использованием памяти после её освобождения, позволяющая наруш
BDU:2025-08198Уязвимость диспетчера сообщений Apache Kafka, связанная с недостатками механизма десериализации, позволяющая нарушителю
BDU:2025-06880Уязвимость конфигурации sasl.oauthbearer.token.endpoint.url и sasl.oauthbearer.jwks.endpoint.url клиента диспетчера сооб
BDU:2025-08199Уязвимость диспетчера сообщений Apache Kafka, связанная с недостатками механизма десериализации, позволяющая нарушителю
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.