企业环境中广泛用于日志采集与分发的监控解决方案Apache Karaf Decanter被发现存在严重安全漏洞。该漏洞编号为CVE-2026-24656,会使日志套接字收集器遭受 **“不可信数据反序列化”** 攻击,未授权攻击者或可借此导致受影响系统崩溃。
Apache Karaf Decanter 的设计初衷是从日志、Java 管理扩展组件、操作系统指标等多类数据源采集数据,并向管理员告警系统异常。但其中某一特定收集器的入站数据处理机制存在疏漏,为系统受干扰埋下了重大安全隐患。
该漏洞的核心问题出在 Decanter 日志套接字收集器上,该组件会在4560 端口监听日志事件,且该端口默认无身份验证对外开放,即任何能够访问该服务器的主体,均可向该端口发送数据。
漏洞的触发条件为收集器被配置为接收 **“允许的类”**。根据安全公告内容,若该配置属性对外暴露,攻击者可绕过此配置限制。
这一绕限操作会直接导致收集器对攻击者发送的不可信数据执行反序列化操作。在 Java 技术体系中,反序列化漏洞向来具有极高的危险性;本漏洞的具体危害为引发拒绝服务(DoS),造成服务崩溃,同时使管理员无法监控到系统的正常事件。
利好的是,该组件并非默认启用。安全报告明确说明:“Decanter 日志套接字收集器并非默认安装组件,未安装该组件的用户不会受到此漏洞影响”。
但对于实际使用该功能进行日志集中管理的企业而言,此漏洞的风险真实存在。所有 2.12.0 版本之前的 Apache Karaf Decanter 均受该漏洞影响。
Apache 官方已发布漏洞修复补丁,Apache Karaf Decanter 2.12.0 版本已彻底解决该问题,官方强烈建议用户立即升级版本,封堵该攻击途径。
在完成版本升级前,管理员应将 4560 端口的网络访问权限仅开放给可信来源,以此最大限度缩小攻击面。
发表评论
您还未登录,请先登录。
登录