描述

在 Apache Kafka 的 Spring 版本 3.0.9 及更早版本，以及 2.9.10 及更早版本中，存在潜在的反序列化攻击向量，但仅在应用了非典型配置时才会出现。攻击者必须在其中一个反序列化异常记录头中构造一个恶意序列化对象。

具体来说，当以下所有情况都为真时，应用程序是易受攻击的

用户未为记录的键和/或值配置 ErrorHandlingDeserializer
用户明确将容器属性 checkDeserExWhenKeyNull 和/或 checkDeserExWhenValueNull 容器属性设置为 true。
用户允许不受信任的来源发布到 Kafka 主题

默认情况下，这些属性为 false，并且只有在配置了 ErrorHandlingDeserializer 时，容器才会尝试反序列化头。ErrorHandlingDeserializer 通过在处理记录之前删除任何此类恶意头来防止漏洞。

受影响的 Spring 产品和版本

Spring for Apache Kafka
- 2.8.1 到 2.9.10
- 3.0.0 到 3.0.9

缓解措施

未配置 ErrorHandlingDeserializers 时，请勿设置容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull，或者使用 ErrorHandlingDeserializers
2.8.x 和 2.9.x 用户应升级到 2.9.11
3.0.x 用户应升级到 3.0.10

已修复此问题的发布版本包括

Spring for Apache Kafka
- 3.0.10
- 2.9.11

Spring Boot 3.0.10（或更高版本）的依赖管理将自动使用 Spring for Apache Kafka 3.0.10（或更高版本）。Spring Boot 2.7.x 用户应将 Boot 的 Spring for Apache Kafka 2.8.x 依赖管理版本覆盖为 2.9.11（或更高版本）。