关于Apache Kafka系统安全漏洞有关情况的通报

近日，云南省网络与信息安全信息通报中心工作发现，Apache Kafka系统存在安全漏洞，攻击者可利用该漏洞通过构造恶意输入执行恶意代码，获取系统的控制权，在系统上执行数据窃取、删除、篡改等恶意操作。

Apache Kafka是一种高吞吐量的分布式发布订阅消息系统，可以较好的处理较大规模网站中的页面访问量、被查看内容方面的信息以及搜索情况等活动流数据。

Apache Kafka 0.11.00及之前版本受此漏洞影响，该漏洞是由于Kafka中connect-api的FileOffsetBackingStore类未对不可信数据进行验证，且未对生成的对象类型进行过滤。

目前，Apache Kafka官方尚未针对该漏洞发布安全补丁，建议受影响用户及时采取以下安全保障措施：一是避免使用connect-api的FileOffsetBackingStore类；二是加强代码审计，禁止不可信代码执行；三是关注Apache Kafka官方网站（http://kafka.apache.org），在官方发布安全补丁后及时安装，修复漏洞。

云南省网络与信息安全信息通报中心将对该漏洞予以持续关注，新情况及时通报。