Apache Kafka(CVE-2023-25194)

nhjlsmyf  于 2023-08-02  发布在  Apache
关注(0)|答案(1)|浏览(123)

我目前在我的服务中使用Sping Boot 2.4.x,我已经分别将spring-kafka和kafka-client的版本升级到2.9.10和3.4.0。此升级的原因是为了解决以下安全漏洞:https://developer.aliyun.com/article/1245287
升级后,服务将启动并正常运行。然而,我不确定单独升级spring-kafka,同时保持Sping Boot 版本为2.4.5,是否会引入其他问题。为了解决这个安全漏洞,是否可以直接升级spring-kafka和kafka-client而不升级Sping Boot ?
为了解决这个安全漏洞,是否可以直接升级spring-kafka和kafka-client而不升级Sping Boot ?

wlzqhblo

wlzqhblo1#

正如评论中提到的,列出的CVE与Kafka Connect API相关,它不是spring-kafkakafka-clients的依赖项,因此您不会受到特别的影响,但这并不意味着自您拥有的Spring-Kafka / kafka-clients版本以来没有其他漏洞得到解决

相关问题