漏洞描述:
Apache ZooKeeper是一个开源的分布式协调服务,persistent watchers是对节点的监控机制,受影响版本中,由于 addWatch命令缺少ACL 检查,未经身份验证的攻击者可利用通过addWatch命令将persistent watchers添加到攻击者已经访问的父节点来监视子znodes,进而获取znode 的路径信息(可能包含用户名或登录ID等敏感信息)。
影响范围:
org.apache.zookeeper:zookeeper[3.9.0, 3.9.2)
org.apache.zookeeper:zookeeper[3.6.0, 3.8.4)
org.apache.zookeeper:zookeeper-it[3.6.0, 3.8.4)
org.apache.zookeeper:zookeeper-it[3.9.0, 3.9.2)
修复方案:
将 org.apache.zookeeper:zookeeper-it升级至3.9.2及以上版本
将 org.apache.zookeeper:zookeeper 升级至3.9.2及以上版本
将 org.apache.zookeeper:zookeeper 升级至3.8.4及以上版本
将 org.apache.zookeeper:zookeeper-it升级至3.8.4及以上版本
参考链接:
https://issues.apache.org/jira/browse/ZOOKEEPER-4799
https://github.com/apache/zookeeper/commit/65b91d2d9a56157285c2a86b106e67c26520b01d
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache ZooKeeper persistent watchers敏感信息泄露漏洞CVE-2024-23944
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论