#28676 Absicherung von Kafka-Client-Konfiguration gegen SSRF und File-Reads (CVE-2025-27817)

Verbesserung

Wichtig

#28593

Baumselektions-Modell mit Teilbaum-Selektionslogik

#28695

Selektionsfilter für (Tree-)tables und -grids im Layout-Editor einstellen

#28704

Optimierter Zugriff auf Tabelle FLEX_DATA für manche DBs

Detail

#28613

"DefaultFor" Konfigurationsoption im "advanceProcess"-Template für BPE

#28679

Dynamische Labels für FormTableDefinition

#28705

Formlar-Dialoge bei Cancel schließen

#28712

Test kann einstellen ob Warnings zu Fehlschlag führen

Kleinigkeit

#28588

Option, Tabellen in Formularen als nicht selektierbar zu markieren

Fehlerbehebung

Wichtig

#28673

Sicherheitslücke in commons-beanutils (CVE-2025-48734)

#28675

Opening Excel-Scripts in Script Recorder fails when starting from command line

#28676

Absicherung von Kafka-Client-Konfiguration gegen SSRF und File-Reads (CVE-2025-27817)

#28684

DoS-Sicherheitslücke in Apache Commons FileUpload (CVE-2025-48976)

#28692

ClassCastException in der ActiveTaskComponent

#28700

Sicherheitslücke bei Workflow-Übergängen - Unautorisierte Bearbeitung nach Task-Abschluss

#28739

TL-Script Methode filterPermission darf nicht zur Compilezeit ausgewertet werden

Detail

#28331

Falsche Update-Typ-Erstellung in tUpdate führt zu ignorieren von Hidden-Attribut-Änderungen

#28617

Bug: Post-Create-Actions fehlen bei Prozess-Start ohne Prüfung

#28640

Mandatory Multiline Felder haben keinen blauen Strich

#28665

Berechnete Attribute werden bei Tabellenänderungen nicht aktualisiert

#28666

Fehlender DisplayContext nach BinaryDataSource-Conversion

#28667

Pipe closed Fehler beim Mail-Versand durch doppeltes Rendering von Inhalten ohne EncodingAware-Interface

#28671

ExcelWriter-Methoden fehlen

#28686

REST-Routing: Kürzere Pfade werden vor längeren Pfaden priorisiert und verursachen falsches Route-Matching

#28690

Anlegen in Währungsadministration hat falsche Kommandogruppe

#28698

Ausführbarkeitsregel wird auf gelöschtem Objekt geprüft

#28706

Formulartabellen überschreiten Container-Breite

#28707

Falsches Dirty-Handling im SelectTransitionDialog (BPE)

#28724

Selektionsfilter darf nicht auf gelöschten Objekten ausgewertet werden

#28726

Unique-Constraint-Violation bei mehrfacher Anwendung des MoveObjectsProcessor

Kleinigkeit

#28458

Falsche Abfrage, ob Komponente Multi-Selektion unterstützt

Fehlerbehebung

Wichtig

#28676

Absicherung von Kafka-Client-Konfiguration gegen SSRF und File-Reads (CVE-2025-27817)

SecurityIssue TLKafka

Problembeschreibung

In der aktuellen Apache Kafka-Version (< 3.9.1) besteht eine potenzielle Sicherheitslücke im Zusammenhang mit der Konfiguration der Kafka-Clients bei Verwendung von SASL/OAUTHBEARER:

Die Kafka-Clients akzeptieren die Konfigurationsparameter:

sasl.oauthbearer.token.endpoint.url

sasl.oauthbearer.jwks.endpoint.url

Diese URLs werden verwendet, um Token bzw. JWKs bei der Authentifizierung abzurufen.

Die übergebenen Werte konnten bislang beliebige URLs enthalten (z. B. file:///etc/passwd, http://localhost/internal-api), was zu Arbitrary File Read oder SSRF (Server Side Request Forgery) führen konnte, insbesondere wenn Konfigurationen aus unsicheren Quellen kommen (z. B. bei SaaS-Integrationen, externen UIs oder Kafka Connect REST-APIs).

Lösung

Ab Version 3.9.1 wurde eine neue Sicherheitsmaßnahme eingeführt:

Die neue System-Property org.apache.kafka.sasl.oauthbearer.allowed.urls erlaubt es, eine Whitelist von erlaubten URLs festzulegen.

In 3.9.1 ist diese Whitelist standardmäßig leer (= alle URLs erlaubt), um abwärtskompatibel zu bleiben. Ab Version 4.0.0 sind alle URLs blockiert, sofern nicht explizit erlaubt.

Ziel dieses Tickets

Upgrade der verwendeten Kafka-Client-Version von 3.9.0 auf 3.9.1
Einführung der Property: -Dorg.apache.kafka.sasl.oauthbearer.allowed.urls
Diese Property muss von der Anwendung konfigurierbar sein, da Kunden oder Deployments unterschiedliche OAuth-Endpunkte verwenden.
Die Property muss mehrere URLs akzeptieren (Whitelist), in Form einer kommagetrennten Liste ohne Leerzeichen.

Beispielwert: -Dorg.apache.kafka.sasl.oauthbearer.allowed.urls=https://auth.example.com/token,https://auth.example.com/jwks

Die Property sasl.oauthbearer.token.endpoint.url bleibt weiterhin notwendig für die Funktionalität der Kafka-Authentifizierung. Sie gibt weiterhin an, wo das Access Token abgerufen wird. Neu ist nur, dass diese URL nun mit der Whitelist (allowed.urls) verglichen wird.

Die token.endpoint.url darf also nur noch in der Whitelist enthaltene Werte verwenden, andernfalls wird der Zugriff blockiert.

Umsetzung

Kafka-Client auf Version 3.9.1 anheben
Neue Konfigurationsmöglichkeit einführen für org.apache.kafka.sasl.oauthbearer.allowed.urls
Konfiguration als Liste von erlaubten URLs umsetzen (mehrere Werte zulässig)
Validierung: token.endpoint.url und jwks.endpoint.url müssen mit dieser Whitelist übereinstimmen
Absicherung auf Betriebssystemebene gegen ungewollte File-URLs