說干的是信息化智能化的行當,但每個IT工程師都必定踩過“IT系統不智能”的坑。就拿企業組建局域網來說,為了對網絡接入用戶身份進行確認,確保用戶權限不受辦公地點變更的影響,許多IT工程師都習慣開啟 “手動模式”和苦逼的“加班模式”。
其實,企業組建局域網的配置也是有“套路”的。IT新人也能現學現用,輕松幾步,教你飛速提高企業網絡準入的安全性。
對于企業IT工程師來說,什么樣的企業網絡是我們需要的呢,是快捷,還是安全,讓我們來想象一下。
員工入職即生成個人賬戶,一套賬戶“走遍天下”,包含接入網絡,OA,內網,ERP,甚至打印和復印等;
支持多個終端,在手機、筆記本、臺式機上登錄,不論在公司什么位置,你有擁有相同的網絡權限;
員工調崗或者更換部門,僅需再組織架構中進行調整,這個“新”員工自動獲取新部門的網絡權限;
員工離職,僅需要將賬號“一鍵禁用”。好了,所有的權限都關了,“蒼蠅”你都別想飛進來。
有句話說“理想很豐滿,現實很骨干‘’,但是我在這里想說,這都不是夢,資深IT來告訴你理想的實現方法。
架構圖
基于802.1x協議,實現端口訪問控制和認證;
搭建Windows Server系統環境,實現AD+DHCP+DNS,這部分搭建網上大把大把的教程,這部分忽略不在進行贅述;
NPS(Radius),用戶認證管理管理;
選擇支持802.1x協議認證網絡設備,實現動態VLAN實現獲得各終端網絡登錄具有各自網絡權限。
組網環境(試驗樣例,最終根據自己實際情況決定)
服務器
Cisco網絡設備
客戶端網絡
重點1:調整用戶所在安全組后,如何繼承了劃分VLAN的網絡權限?
答:在核心網絡交換機中把劃分的VLAN一定要對應到用戶所在安全組,如上圖。
本文主要介紹關鍵配置:有線網絡設備上開啟802.1X認證和認證服務器NPS(Radius)的配置,其他搭建過程請參照文章底部附錄。
1.接入交換機(WS-C2960X-48LPS-L)開啟802.1x認證,以Cisco 2960為例(注:不同IOS版本命令略有差異)
第一步:進入配置模式開啟802.1x認證、指定radius-server
aaa new-model ! 啟用 aaa aaa authentication dot1x default group radius ! dot1x使用radius做認證 aaa authorization network default group radius ! 使用802.1x協議去動態分配vlan的話,上邊的這句命令一定要有 dot1x system-auth-control ! 允許802.1x port-based 認證 dot1x guest-vlan supplicant ! 允許交換機在端口802.1x認證失敗后,指定vlan到guest-vlan radius-server host IP auth-port 1812 acct-port 1813 key Password ! 指定radius服務器IP、端口號和進行交互的使用的密碼 radius-server retry method reorder! 允許有多個radius服務器冗余切換radius-server timeout 10 ! 指定radius服務認證超時時間
重點2:不同用戶安全組如何獲得動態VLAN地址?
答:把預規劃好的所有VLAN配置到每臺接入交換機和無線AC控制器上,并在核心交換機中配置指向到DHCP服務器地址 。
第二步:進入網絡端口下啟用802.1x配置
interface GigabitEthernet1/0/46 switchport mode access ! dot1x指定vlan, switchport mode必須為access switchport voice vlan 195! dot1x指定語音vlan authentication event fail action authorize vlan 107! 認證失敗獲得隔離vlan authentication event no-response action authorize vlan 107! 認證無響應獲得隔離vlan authentication port-control auto! 端口認證控制 authentication timer inactivity 30! 認證響應超時 dot1x pae authenticator! 認證端口開啟
2.NPS(Radius)策略配置(注意了!這個方案最重要的12步,一定要注意!)
a.使用配置向導新建連接策略
b.添加NPS客戶端(接入交換機和無線AC),輸入交接機IP和與其認證交互的Password
c.選擇EAP類型為Microsoft:受保護的EAP(PEAP)
d.NPS(Radius)服務器申請計算機證書
e.添加賬號認證系統AD中的用戶test01所在部門“全局作用域安全組”
f.配置網絡策略,動態VLAN和訪問控制列表(ACL)
Tunnel-Type: VLAN
Tunnel-Medium-Type: 802.1x
Tunnel-Pvt-Group-ID: 100 (為VLAN ID),這樣不同用戶安全組對應不同網絡VLAN即可得到不同的網絡訪問權限,從而大大減少網絡層對終端接入設備訪問權限的頻繁設置。
g.配置完成,NPS(Radius)客戶端顯示狀態
h.配置完成,連接請求策略顯示狀態
i.配置完成,網絡策略顯示狀態
j.注意:網絡策略中,通過配置向導創建的默認是“windows組”,需要手動改為“用戶組”,后續熟練后可對NPS(Radius)客戶端、連接請求策略和網絡策略分開逐一按需求創建。
k.注意:連接請求策略,如無線和有線IP段分開,需分開創建,如不分開,創建一條把無線和有線都勾選即可。
l.其他部門網絡策略,可右鍵選擇重復策略進行創建
至此基于802.1x+AD+DHCP+NPS認證實現動態VLAN配置完成,可開始在PC、移動客戶端等設備接入網絡,使用域賬號及密碼進行登錄嘗試。
m.開始菜單運行輸入services.msc打開本地服務設置
a.設置有線網絡(Wired AutoConfig)和無線網絡(WLAN AutoConfig)服務開機自動啟動802.1x服務
b.有線網卡屬性“身份驗證”選項,啟用802.1X和受保護的EAP選項,然后打開“設置”EAP屬性,取消“驗證證書服務器”,點擊配置屬性,將自動使用的登錄和密碼選項取消,然后確定保存關閉。
c.返回網卡屬性“身份驗證”選項,打開“其他設置”,勾選“指定身份驗證模式”,確定保存。
d.待電腦屏幕右下角,彈出如下窗口選擇點擊左鍵
e.彈出如下網絡身份驗證窗口,輸入自己公司的域賬號(或用戶名)和密碼點擊確定即可。
注:使用無線的用戶需先配置連接網絡的SSID,然后對其進行身份驗證設置再連接登錄。推薦以上所有設置規則在AD中使用組策略推送配置,方便域賬號登錄系統自動連接網絡。
Mac和移動端(Android和iOS)的連接方式也很簡單,不在這里進行重復贅述。到這里,我們整個方案就已經介紹完成了,希望能幫助企業里IT同學。如果在實施過程中有任何問題,請在知乎上聯系五阿哥運維部的同學,他必會傾力相助。
附錄:
方案涉及AD+DNS搭建請參照:
https://zhuanlan.zhihu.com/p/29706040
https://zhuanlan.zhihu.com/p/29706120
https://zhuanlan.zhihu.com/p/29706174
DHCP搭建請參照:
https://zhuanlan.zhihu.com/p/29706251
作者簡介:王志強,五阿哥鋼鐵電商平臺(wauge.com) 運維部IT高級工程師。2016年加入五阿哥鋼鐵電商平臺,負責公司IT相關工作,曾在阿里巴巴、高德等知名互聯網公司負責IT工作,在企業網絡建設擁有10年資深的經驗。
全天候聚焦IaaS/PaaS/SaaS最新技術動態,深度挖掘技術大咖第一手實踐,及時推送云行業重大新聞,一鍵關注,總覽國內外云計算大勢!
近日,明朝萬達安元實驗室發布了2023年第二期《安全通告》。該份報告收錄了2023年2月最新的網絡安全前沿新聞和最新漏洞追蹤,其中重點內容包括:
網絡安全前沿新聞
HeadCrab 僵尸網絡入侵1,200 多臺 Redis 服務器
自 2021 年 9 月初以來,全球至少有 1,200 臺 Redis 數據庫服務器被一個名為 HeadCrab 的僵尸網絡圍困。
HeadCrab高級黑客利用一種最先進的定制惡意軟件,這種惡意軟件無法被無代理和傳統的防病毒解決方案檢測到,從而破壞了大量的 Redis 服務器。
Cisco IOx 和 F5 BIG-IP 產品中發現的新的高危漏洞
F5 已警告影響 BIG-IP 設備的高嚴重性缺陷可能導致拒絕服務 (DoS) 或任意代碼執行。
F5研究院稱:iControl SOAP 中存在格式字符串漏洞,允許經過身份驗證的攻擊者使 iControl SOAP CGI 進程崩潰,或者可能執行任意代碼,并表示 “在設備模式 BIG-IP 中,成功利用此漏洞可以讓攻擊者跨越安全邊界。
伊朗 OilRig黑客組織使用新后門從政府竊取數據
伊朗民族國家黑客組織 OilRig利用新后門獲取泄露的數據,作為網絡間諜活動的一部分,其行動仍繼續以中東的政府組織為目標。
科技研究人員 Mohamed Fahmy、Sherif Magdy 和 Mahmoud Zohdy 表示:“該活動濫用合法但已泄露的電子郵件帳戶,將竊取的數據發送到攻擊者控制的外部郵件帳戶 。
通過惡意廣告傳播的惡意軟件 —— FormBook
Formbook的惡意廣告活動被用于分發虛擬化 .NET 加載程序,這些加載程序旨在部署該惡意軟件用于竊取信息。
加載程序被稱為 MalVirt,使用混淆虛擬化進行反分析和逃避,并使用 Windows Process Explorer 驅動程序終止進程。
GuLoader惡意軟件使用惡意 NSIS 可執行文件來瞄準電子商務行業
網絡安全公司 Trellix 上個月底透露,韓國和美國的電子商務行業正處于正在進行的GuLoader惡意軟件活動的接收端。
惡意垃圾郵件活動以從帶有惡意軟件的 Microsoft Word 文檔過渡到用于加載惡意軟件的 NSIS 可執行文件而著稱。目標國家包括德國、沙特阿拉伯、臺灣和日本。
黑客利用向日葵漏洞部署Sliver C2框架
黑客正在利用向日葵軟件中的已知缺陷來部署 Sliver 命令和控制 (C2) 框架,以執行后期開發活動。
他們不僅使用 Sliver 后門,而且還使用 BYOVD(自帶易受攻擊的驅動程序)惡意軟件來使安全產品失效并安裝反向 shell。
俄羅斯黑客使用 Graphiron 惡意軟件從烏克蘭竊取數據
據觀察,一名與俄羅斯有聯系的黑客在針對烏克蘭的網絡攻擊中部署了一種新的信息竊取惡意軟件,該惡意軟件被 Broadcom 旗下的賽門鐵克稱為 Graphiron ,是名為 Nodaria 的間諜組織的杰作。
烏克蘭計算機應急響應小組 (CERT-UA) 將其追蹤為 UAC-0056,該惡意軟件是用 Go 編寫的,旨在從受感染的計算機中獲取廣泛的信息,包括系統信息、憑據、屏幕截圖和文件。
NIST 標準化用于物聯網和其他輕量級設備的 Ascon 加密算法
美國國家標準與技術研究院 (NIST) 宣布,名為 Ascon 的經過身份驗證的加密和散列算法系列將針對輕量級密碼學 應用程序進行標準化。
“所選擇的算法旨在保護物聯網 (IOT) 創建和傳輸的信息,包括其無數的微型傳感器和執行器,”NIST 說 。它們還專為其他微型技術而設計,例如植入式醫療設備、道路和橋梁內的壓力檢測器以及車輛的無鑰匙進入系統。
Reddit 遭受安全漏洞暴露內部文件和源代碼
流行的社交新聞聚合平臺 Reddit 披露,它是一次安全事件的受害者,該事件使身份不明的黑客能夠未經授權訪問內部文檔、代碼和一些未指定的業務系統。
攻擊需要發出“聽起來似是而非的提示”,重定向到一個偽裝成 Reddit 內部網門戶的網站,試圖竊取憑據和雙因素身份驗證 (2FA) 令牌,據說一名員工的憑據就是以這種方式被釣魚。
針對美國和德國公司的黑客使用屏幕截圖監控受害者的桌面
企業安全公司 Proofpoint 正在跟蹤名為 Screentime 的組織活動集群,稱這個名為TA866 可能是出于經濟動機。
該公司評估表示“TA866 是一個有組織的參與者,能夠根據其自定義工具的可用性、聯系其他供應商購買工具和服務的能力,以及不斷增加的活動量,進行大規模的深思熟慮的攻擊。”
黑客創建惡意 Dota 2 游戲模式以秘密訪問玩家系統
一個未知的黑客為 Dota 2 多人在線戰斗競技場 (MOBA) 視頻游戲創建了惡意游戲模式,這些模式可能被用來建立對玩家系統的后門訪問。
這些模式利用了 V8 JavaScript 引擎中的一個 高危漏洞,該漏洞被跟蹤為 CVE-2021-38003 (CVSS 評分:8.8),該漏洞被用作零日漏洞 ,并于2021年10月被谷歌解決。
大規模 AdSense 欺詐活動-10,000多個WordPress網站受到感染
黑帽重定向惡意軟件活動背后的黑客已擴大其活動范圍,使用 70 多個模仿 URL 縮短器的虛假域并感染 10,800 多個網站。
Sucuri 研究員 Ben Martin 在上周發布的一份報告中表示:其主要目標仍然是通過人為增加包含 AdSense ID 的頁面流量來進行廣告欺詐,這些頁面包含用于創收的Google 廣告。”
Twitter 將基于SMS的雙因素身份驗證限制為僅限 Blue 訂閱者
Twitter 宣布將限制其 Blue 訂閱者使用基于 SMS 的雙因素身份驗證 (2FA)。
未訂閱 Blue 但已注冊基于 SMS 的 2FA 的 Twitter 用戶有時間在 2023 年 3 月 20 日之前切換到替代方法,例如身份驗證器應用程序或硬件安全密鑰。
Lazarus Group 可能使用新的 WinorDLL64 后門來泄露敏感數據
新發現顯示,域名為Wslink 已被發現,臭名昭著的與朝鮮結盟的 Lazarus Group 可能使用了該工具。
這個payload 被 ESET命名為WinorDLL64 是一個功能齊全的植入程序,可以泄露、覆蓋和刪除文件;執行 PowerShell 命令;并獲取有關底層機器的全面信息。
挪威查獲 Lazarus 黑客竊取的 584 萬美元加密貨幣
挪威警察局 ?kokrim 宣布,在 Axie Infinity Ronin Bridge 遭到黑客攻擊后,沒收了 Lazarus Group 在 2022 年 3 月竊取的價值 6000 萬挪威克朗(約合 584 萬美元)的加密貨幣。
“這筆錢可以支持朝鮮及其核武器計劃,”它進一步補充說。“因此,追蹤加密貨幣并在他們試圖將其提取為實物資產時試圖阻止資金是很重要的。”
CISA聲音警報網絡安全威脅在俄羅斯的入侵周年
CISA評估認為,美國和歐洲國家可能會在2023年2月24日,即俄羅斯2022年入侵烏克蘭的周年紀念日,經歷針對網站的破壞性和污損性攻擊,企圖制造混亂和社會不和諧,”該機構說。
CISA建議組織實施網絡安全最佳實踐,提高準備,并采取積極主動的步驟,以減少分布式拒絕服務(DDoS)攻擊的可能性和影響。
網絡安全最新漏洞追蹤
微軟2月多個安全漏洞
漏洞概述
2023年2月14日,微軟發布了2月安全更新,本次更新修復了包括3個0 day漏洞在內的75個安全漏洞(不包括Microsoft Edge和其它漏洞),其中有9個漏洞評級為“嚴重”。
漏洞詳情
本次發布的安全更新涉及.NET and Visual Studio、.NET Framework、Microsoft Defender for Endpoint、Microsoft Dynamics、Microsoft Exchange Server、Microsoft Graphics Component、Microsoft Office OneNote、Microsoft Office SharePoint、Microsoft Office Word、SQL Server、Visual Studio、Windows Active Directory、Windows iSCSI、Windows Protected EAP (PEAP)和Windows Win32K等多個產品和組件。
本次修復的漏洞中,涉及提權漏洞、遠程代碼執行漏洞、信息泄露漏洞、拒絕服務漏洞、安全功能繞過漏洞和欺騙漏洞等。
微軟本次共修復了3個被積極利用的0 day漏洞(指漏洞已被公開披露或被積極利用但沒有可用的官方修復程序)。
CVE-2023-21823:Windows Graphics Component 遠程代碼執行漏洞
Windows 圖形組件存在遠程代碼執行漏洞,該漏洞的CVSSv3評分為7.8,成功利用該漏洞可以獲得 SYSTEM 權限。該漏洞暫未公開披露,但已檢測到漏洞利用,Microsoft Store(已啟用自動更新)將自動更新受影響的客戶。
CVE-2023-21715:Microsoft Publisher 安全功能繞過漏洞
該漏洞的CVSSv3評分為7.3,Microsoft Publisher存在安全功能繞過漏洞,成功利用該漏洞的威脅者可以繞過用于阻止不受信任或惡意文件的Office宏策略,但利用該漏洞需要用戶交互(如通過誘使受害者從網站下載并打開特制文件)。該漏洞暫未公開披露,但已檢測到漏洞利用。
CVE-2023-23376:Windows Common Log File System Driver 特權提升漏洞
該漏洞的CVSSv3評分為7.8,Windows 通用日志文件系統驅動程序存在特權提升漏洞,成功利用該漏洞可以獲得 SYSTEM 權限。該漏洞暫未公開披露,但已檢測到漏洞利用。
CVE-2023-21808:.NET 和 Visual Studio 遠程代碼執行漏洞
CVE-2023-21716:Microsoft Word 遠程代碼執行漏洞
該漏洞的CVSSv3評分為9.8,未經身份驗證的威脅者可以發送包含 RTF Payload的惡意電子郵件,以獲得在用于打開惡意文件的應用程序中執行命令的權限。注意,預覽窗格是該漏洞的攻擊媒介之一
CVE-2023-21718:Microsoft SQL ODBC 驅動程序遠程代碼執行漏洞
CVE-2023-21815/ CVE-2023-23381:Visual Studio 遠程代碼執行漏洞
CVE-2023-21803:Windows iSCSI 發現服務遠程代碼執行漏洞
該漏洞的CVSSv3評分為9.8,啟用 iSCSI Initiator 客戶端應用程序的系統易受該漏洞影響,默認情況下,iSCSI Initiator 客戶端應用程序被禁用,此狀態下該漏洞無法被利用。
CVE-2023-21692/CVE-2023-21690:Microsoft Protected Extensible Authentication Protocol (PEAP) 遠程代碼執行漏洞
這些漏洞的CVSSv3評分均為9.8,未經身份驗證的威脅者可以通過在網絡上發送特制的惡意 PEAP 數據包來攻擊 Microsoft Protected Extensible Authentication Protocol (PEAP) 服務器。
CVE-2023-21689:Microsoft Protected Extensible Authentication Protocol (PEAP) 遠程代碼執行漏洞
該漏洞的CVSSv3評分為9.8,利用該漏洞的非特權威脅者可以在任意或遠程代碼執行中以服務器帳戶為目標,并嘗試通過網絡調用在服務器帳戶的上下文中觸發惡意代碼。
安全建議
目前微軟已發布相關安全更新,建議受影響的用戶盡快修復。
(一) Windows Update自動更新
Microsoft Update默認啟用,當系統檢測到可用更新時,將會自動下載更新并在下一次啟動時安裝。也可選擇通過以下步驟手動進行更新:
1、點擊“開始菜單”或按Windows快捷鍵,點擊進入“設置”
2、選擇“更新和安全”,進入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入“Windows更新”,具體步驟為“控制面板”->“系統和安全”->“Windows更新”)
3、選擇“檢查更新”,等待系統自動檢查并下載可用更新。
4、更新完成后重啟計算機,可通過進入“Windows更新”->“查看更新歷史記錄”查看是否成功安裝了更新。對于沒有成功安裝的更新,可以點擊該更新名稱進入微軟官方更新描述鏈接,點擊最新的SSU名稱并在新鏈接中點擊“Microsoft 更新目錄”,然后在新鏈接中選擇適用于目標系統的補丁進行下載并安裝。
(二) 手動安裝更新
Microsoft官方下載相應補丁進行更新。
2023年2月安全更新下載鏈接:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Feb
Apache Linkis反序列化漏洞(CVE-2022-44645)
漏洞概述
漏洞詳情
Apache Linkis(Incubating)是一個開源的上層應用與底層引擎之間的計算中間件,提供了強大的連接、復用、編排、擴展和處理能力。
1月31日,Apache發布安全公告,修復了Linkis DatasourceManager模塊中的一個反序列化漏洞(CVE-2022-44645)和一個文件讀取漏洞(CVE-2022-44644),如下:
CVE-2022-44645:Apache Linkis反序列化漏洞
Apache Linkis版本<=1.3.0與MySQL Connector/J一起使用時,當對數據庫具有寫入權限并使用MySQL數據源和惡意參數配置新數據源時,存在反序列化漏洞,可能導致遠程代碼執行。
CVE-2022-44644:Apache Linkis文件讀取漏洞
Apache Linkis版本<=1.3.0與MySQL Connector/J一起使用時,通過在jdbc參數中將allowLoadLocalInfile添加為true,經過身份驗證的用戶可以通過連接惡意MySQL服務器讀取任意本地文件。
影響范圍
Apache Linkis 版本 <= 1.3.
安全建議
目前這些漏洞已經修復,受影響用戶可及時升級到Apache Linkis 1.3.1版本。
下載鏈接:
https://github.com/apache/linkis/releases
F5 BIG-IP任意代碼執行漏洞(CVE-2023-22374)
漏洞概述
漏洞詳情
F5 Networks是全球范圍內應用交付網絡(ADN)領域的知名廠商,致力于幫助全球大型企業和服務提供商實現虛擬化、云計算和靈活的IT業務服務。
2月1日,F5發布安全公告,修復了BIG-IP中的一個任意代碼執行漏洞(CVE-2023-22374),其CVSSv3評分最高為8.5,目前該漏洞的細節已公開。
F5 BIG-IP iControl SOAP中存在格式化字符串漏洞,經過身份驗證的用戶可以通過 BIG-IP 管理端口或自身 IP 地址對 iControl SOAP 進行網絡訪問,從而在 iControl SOAP CGI 進程上造成拒絕服務 (DoS) 或可能執行任意系統命令或代碼;在BIG-IP設備模式下,成功利用該漏洞可能導致跨越安全邊界。
影響范圍
標準部署模式、設備模式下的BIG-IP(所有模塊):
F5 BIG-IP 17.x:17.0.0
F5 BIG-IP 16.x:16.1.2.2 - 16.1.3
F5 BIG-IP 15.x:15.1.5.1 - 15.1.8
F5 BIG-IP 14.x:14.1.4.6 - 14.1.5
F5 BIG-IP 13.x:13.1.5
安全建議
目前該漏洞暫無可用補丁,但 F5 表示可以使用工程修補程序(不保證可用性),可參考:
https://my.f5.com/manage/s/article/K4918
臨時緩解措施:
遵循最佳實踐來保護對BIG-IP系統的管理接口和自身IP地址的訪問,將有助于最大限度地減少攻擊面。
對于 BIG-IP 系統,限制對系統的 iControl SOAP API 的訪問,只允許受信任的用戶。如果不使用 iControl SOAP API,則可以通過將 iControl SOAP API 的允許列表設置為空列表來禁止所有訪問。為此,請執行以下操作:
1.通過輸入以下命令登錄到TMOS Shell(tmsh)。
2.輸入以下命令從允許的地址列表中刪除所有IP地址或IP地址范圍。
modify /sys icontrol-soap allow replace-all-with { }
3.通過輸入以下命令來保存更改。
save /sys config
注意:
阻止 iControl SOAP IP 地址將阻止將新設備添加到設備信任。
BIG-IQ不受該漏洞影響。
Apache Kafka Connect 遠程代碼執行漏洞(CVE-2023-25194)
漏洞概述
漏洞詳情
Apache Kafka 是一個開源分布式事件流平臺,通常用于高性能數據管道、流分析、數據集成和任務關鍵型應用程序。
可以使用Apache Kafka Connect在Apache Kafka和其他系統之間流式傳輸數據,Connect使得快速定義Kafka連接器變得非常簡單,這些連接器可以將大量數據移入和移出Kafka。
2月8日,Apache發布安全公告,修復了Apache Kafka Connect中的一個遠程代碼執行漏洞(CVE-2023-25194)。
在Apache Kafka 版本2.3.0 - 3.3.2中,能夠訪問Kafka Connect worker,并能夠使用任意Kafka客戶端SASL JAAS配置和基于SASL的安全協議在其上創建或修改連接器的惡意行為者可以發送JNDI請求,導致拒絕服務或遠程代碼執行。
影響范圍
2.3.0 <= Apache Kafka版本 <= 3.3.2
安全建議
目前該漏洞已經修復,受影響用戶可及時升級到Apache Kafka 版本3.4.0。
下載鏈接:
https://kafka.apache.org/downloads
【 持續關注網絡安全,更多相關資訊敬請關注“明朝萬達” 】