Vulnerabilidad en Apache Kafka (CVE-2024-27309)

Mientras se migra un clúster de Apache Kafka del modo ZooKeeper al modo KRaft, en algunos casos las ACL no se aplicarán correctamente. Se necesitan dos condiciones previas para desencadenar el error: 1. El administrador decide eliminar una ACL. 2. El recurso asociado con la ACL eliminada continúa teniendo dos o más ACL asociadas después de la eliminación. Cuando se cumplen esas dos condiciones previas, Kafka tratará el recurso como si tuviera solo una ACL asociada después de la eliminación, en lugar de las dos o más que serían correctas. La condición incorrecta se elimina eliminando todos los intermediarios en modo ZK o agregando una nueva ACL al recurso afectado. Una vez que se completa la migración, no hay pérdida de metadatos (todas las ACL permanecen). El impacto total depende de las ACL en uso. Si solo se configuraran ALLOW ACL durante la migración, el impacto se limitaría al impacto en la disponibilidad. Si se configuraron DENY ACL, el impacto podría incluir un impacto en la confidencialidad e integridad según las ACL configuradas, ya que DENY ACL podrían ignorarse debido a esta vulnerabilidad durante el período de migración.