Apache ZooKeeper身份验证不当漏洞

admin 2024年11月7日14:30:39评论16 views字数 485阅读1分37秒阅读模式

Apache ZooKeeper身份验证不当漏洞

漏洞描述:

ApacheZooKeeper是开源的分布式应用程序协调服务,IPAuthenticationProvider是其身份验证提供器,用于基于客户端IP地址进行身份验证,受影响版本的ZooKeeperAdminServer使用IPAuthenticationProvider进行身份验证,由于其使用由代理服务器添加的HTTP请求头X-Forwarded-For,攻击者可通过伪造X-Forwarded-For头中的IP地址,通过Admin Server的校验,使用特权命令,修复版本中,通过通过引入 usexforwardedfor配置选项并将其默认设置为关闭,以修复漏洞。

Apache ZooKeeper身份验证不当漏洞

Apache ZooKeeper身份验证不当漏洞

Apache ZooKeeper身份验证不当漏洞

修复建议:

正式防护方案:
截至目前,厂商已发布补丁修复漏洞,建议下载相关补丁尽快更新至安全版本。

安全版本:
Apache ZooKeeper >= 3.9.3

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

参考链接:
https://zookeeper.apache.org/security.html

原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache ZooKeeper身份验证不当漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月7日14:30:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apache ZooKeeper身份验证不当漏洞https://cn-sec.com/archives/3368587.html

发表评论

匿名网友 填写信息