В мире корпоративных данных и потоковой обработки информация - это кровь, текущая по венам бизнес-процессов. Представьте, что эта кровь внезапно начинает поступать не в тот орган, причём система даже не замечает сбоя. Именно такая ситуация стала возможной из-за недавно обнаруженной критической уязвимости в одном из самых популярных в мире инструментов для работы с потоками данных - Apache Kafka. Уязвимость, получившая идентификатор CVE-2026-35554, затрагивает клиентскую библиотеку для Java и может привести к незаметной для отправителя утечке конфиденциальной информации и порче данных в цепочках их обработки. Это событие касается тысяч компаний по всему миру, использующих Kafka в своих backend-системах, микросервисных архитектурах и платформах реального времени.
Уязвимость CVE-2026-35554
Суть проблемы заключается в ошибке типа race condition (состояние гонки), обнаруженной в механизме управления пулом буферов памяти в клиенте-производителе (producer) Apache Kafka. Для понимания: Kafka работает по принципу публикации-подписки, где приложения-производители отправляют сообщения в определённые темы (topics), а приложения-потребители читают их оттуда. Когда производитель готовит партию сообщений для отправки, он выделяет для неё буфер памяти. Технический сбой происходит в момент, когда сетевая отправка партии занимает слишком много времени и превышает установленный таймаут "delivery.timeout.ms". В этом случае система, считая операцию неудачной, преждевременно освобождает буфер этой партии и возвращает его в общий пул для повторного использования. Однако сетевой запрос с данными из этого буфера всё ещё может находиться в процессе передачи. Если другая, новая партия сообщений, предназначенная уже для иной темы, успеет занять этот же освобождённый буфер до завершения первоначальной передачи, содержимое буфера в сети может быть повреждено и подменено. В результате сообщения из первой партии в итоге будут доставлены не в свой целевой раздел, а в тот, который был назначен для второй, более поздней партии. Самое тревожное - производитель не получит никакого сообщения об ошибке, считая, что его данные были отправлены корректно.
Последствия такого скрытого сбоя двояки и крайне серьёзны. Во-первых, это прямая угроза конфиденциальности. Конфиденциальное сообщение, предназначенное, например, для внутренней темы "платежи", может незаметно для всех оказаться в публичной теме "логи_приложения", доступ к которой есть у широкого круга разработчиков. Это приводит к утечке данных, которая остаётся незамеченной, поскольку системы мониторинга ожидают проблем в одном месте, а они возникают в совершенно другом. Во-вторых, страдает целостность данных. Потребители, читающие сообщения из темы-получателя, сталкиваются с совершенно чуждыми для них структурами данных. Это вызывает ошибки десериализации, сбои в бизнес-логике обработки и, как следствие, порчу данных в последующих системах - базах данных, хранилищах или аналитических отчётах. Проще говоря, финансовая транзакция может быть ошибочно интерпретирована как событие клика по баннеру, что делает дальнейшую аналитику бессмысленной, а принятие решений - ошибочным.
С точки зрения классификации уязвимостей, данная проблема является комбинацией двух распространённых классов слабостей: CWE-362 (состояние гонки) и CWE-416 (использование после освобождения - use-after-free). Это низкоуровневая ошибка параллельного выполнения, когда два процесса (освобождение буфера и его повторное выделение) пытаются работать с одним общим ресурсом без должной синхронизации. Подобные ошибки особенно коварны, так как их сложно воспроизвести в тестовой среде - они проявляются случайным образом под высокой нагрузкой, что типично для продакшен-окружений.
Затронутыми оказались популярные и активно используемые версии клиентской библиотеки Apache Kafka: с 2.8.0 по 3.9.1, с 4.0.0 по 4.0.1 и с 4.1.0 по 4.1.1. Учитывая консервативность корпоративных сред в обновлении инфраструктурного ПО, многие компании могут до сих пор эксплуатировать уязвимые версии. Разработчики Apache Software Foundation оперативно выпустили исправления в версиях 3.9.2, 4.0.2, 4.1.2 и 4.2.0. Рекомендация для всех специалистов по информационной безопасности и DevOps-инженеров, ответственных за эксплуатацию Kafka, однозначна - необходимо запланировать и провести обновление клиентских библиотек во всех приложениях-производителях до защищённых версий. В качестве временной меры, хотя и менее надёжной, можно рассмотреть увеличение параметра "delivery.timeout.ms" для снижения вероятности срабатывания условия гонки, однако это не устраняет корневую причину уязвимости.
Таким образом, CVE-2026-35554 служит важным напоминанием о том, что даже в зрелых и проверенных временем инфраструктурных проектах могут скрываться глубокие и неочевидные изъяны, способные подорвать основы целостности и конфиденциальности данных. Данный инцидент подчёркивает необходимость не только своевременного применения обновлений безопасности, но и построения архитектур, предполагающих возможность подобных скрытых сбоев, например, путём внедрения дополнительных проверок целостности данных на стороне потребителей или сквозного логирования. В современном мире, где данные стали ключевым активом, подобные уязвимости превращаются из технических багов в прямую бизнес-угрозу.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-35554
- https://nvd.nist.gov/vuln/detail/CVE-2026-35554
- https://issues.apache.org/jira/browse/KAFKA-19012
- https://lists.apache.org/thread/f07x7j8ovyqhjd1to25jsnqbm6wj01d6
