关于Zookeeper未授权访问漏洞的解决办法

最新推荐文章于 2024-06-06 17:55:16 发布
最新推荐文章于 2024-06-06 17:55:16 发布
阅读量9.4k 收藏 34
点赞数 3
分类专栏: Bug zookeeper 文章标签: zookeeper java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DreamsArchitects/article/details/108547226
版权

一、介绍

搭建完zookeeper集群后,收到了关于zookeeper的漏洞信息:
在这里插入图片描述
我们在使用zookeeper提供的服务的时候会发现,只要知道zk服务端的IP和Port,任务用户或者客户端根本不需要任何的认证就可以连上zk的服务端,并且可以对znode进行增删等操作。这样数据是非常不安全的,极易被攻击和篡改。

zookeeper解决这个问题的手段是ACL(access control list)机制,即访问控制列表。

1.权限操作

权限permission:zookeeper目前支持下面一些权限:

  1. CREATE ( c ):创建权限,可以在在当前node下创建child node
  2. DELETE( d ):删除权限,可以删除当前的node
  3. READ( r ):读权限,可以获取当前node的数据,可以list当前node所有的child nodes
  4. WRITE( w ):写权限,可以向当前node写数据
  5. ADMIN( a ):管理权限,可以设置当前node的permission
    这5种权限简写为crwda

2.身份的认证

身份的认证有4种方式:
world:默认方式,相当于全世界都能访问
auth:代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)
digest:即用户名:密码这种方式认证,这也是业务系统中最常用的
ip:使用Ip地址认证

解决方法1 :设置可访问ip

进入zookeeper/bin目录执行./zkCli.sh ,执行getAcl /
看到是任何人都可以访问的
在这里插入图片描述
我们添加可访问的IP地址:
注意:
添加本即的ip地址,以便进行修改,这里遇到一个坑
添加一个ip地址后会覆盖之前添加的ip地址,结果把我的本即的ip覆盖了,修改可访问ip后我自己再次修改的时候无法修改认证失败!只能重装了。

setAcl / ip:127.0.0.1:cdrwa,ip:192.168.183.53:cdrwa,ip:192.168.183.55:cdrwa,ip:192.168.183.62:cdrwa

在这里插入图片描述

解决方法2 :增加一个认证用户

进入bin目录执行:./zkCli.sh


addauth digest test:123456     

# 创建一个test目录
create /test data
# 查看Acl
getAcl /test
# 设置权限
# setAcl /path auth:用户名:密码明文:权限
# setAcl /path digest:用户名:密码密文:权限
setAcl /test auth:test:123456:cdrwa

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

Liu_Shihao
关注
  • 3
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
zookeeper授权访问漏洞处理
weixin_50016127的博客
06-27 1万+
zookeeper授权访问漏洞处理
zookeeper 权限控制及watch监听机制使用
Java是世界上最好的语言
01-21 3074
本文主要记录ZK中的相关特性,包括监听机制、权限控制等。 1. ZK特性 1.1 节点状态信息stat 节点除了存储数据内容以外,还存储了数据节点本身的一些状态信息,通过get命令可以获得状态信息的详细内容,如下所示。 状态属性 说明 cZxid 数据节点创建时的事务ID ctime 数据节点创建时的时间 mZxid 数据节点最后一次更新时的事务ID mtime 数据节点最后一次更新时的时间 pZxid 数据节点的子节点列表最后一次被修改(是子节点列表变更,而不是子节点内容变
存在 ZooKeeper 授权访问【原理扫描】--通过防火墙策略进行修复
最新发布
qyq88888的专栏
06-06 480
ELK集群存在 ZooKeeper 授权访问【原理扫描】
Zookeeper 节点权限控制ACL详解
渔夫数据库笔记
07-26 4282
Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制
Apache Zookeeper 授权访问漏洞【原理扫描】
萌兔兔MMQ!!
11-25 1万+
漏洞名称 Apache Zookeeper 授权访问漏洞【原理扫描】风险等级 高高可利用 否CVE编号 -端口(服务) 2181(zookeeper)风险描述 ZooKeeper是一个高性能的分布式数据一致性解决方案,它将复杂的,容易出错的分布式一致性服务封装起来,构成一个高效可靠的原语集,并提供一系列简单易用的接口给客户使用。ZooKeeper默认开启在2181端口,在进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。
修复zookeeper授权访问漏洞
qq_28392947的博客
01-12 1995
【代码】修复zookeeper授权访问漏洞
zookeeper授权访问(CVE-2014-0085)漏洞修复建议
THZLYXX的博客
01-24 3239
xxxx为需要设置的四字命令,添加多命令请使用逗号进行隔开,请根据系统所需进行命令设置,请勿添加envi命令,如系统有使用此命令的需求请使用其他修复方法。1.进入zookeeper目录找到zoo.cfg文件,常见路径为/opt/zookeeper-3.4.13/conf/zoo.cfg。2.使用下面命令登录zookeeper命令中ip为容器ip如果直接安装在服务器上请使用服务器ip。2.使用vi编辑器打开zoo.cfg文件,在文件中添加四字命令白名单,添加命令如下。:访问(Access)
zookeeper授权漏洞实战+复现
我的博客
05-12 7798
测试授权目标时,通过工具扫描出了zookeeper授权(CVE-2014-085) 之后就是进行漏洞利用 由于目标系统较敏感,没有执行其它操作,所以准备本地复现 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,安装zookeeper后 默认端口为2181 这个为配置文件 直接进行漏洞利用 echo envi |nc xxxxx 2181 直接输出目标服务器环境信息,非常详细 os名称 版本 服务器名称 版本...
Apache Zookeeper授权访问漏洞
q80880117的博客
07-11 811
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)格式:setAcl 路径 ip:xxx.xxx.xxx.xx1:cdrwa,ip:xxx.xxx.xxx.xx2:cdrwa。例如:setAcl /zkaa ip:127.0.0.1:cdrwa,ip:10.111.134.6:cdrwa。注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。
ZooKeeper 授权访问漏洞处理方法
08-31
ZooKeeper 授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
zookeeper授权访问修复建议
07-14
解决 ZooKeeper 授权访问的问题可以通过配置访问权限来实现。下面是解决办法: 1. 增加一个认证用户 使用 addauth 命令增加一个认证用户,例如:addauth digest user1:password1。这将创建一个名为 user1 的用户...
ZooKeeper权限控制样例程序
01-22
ZooKeeper权限控制样例程序,配合文档:http://blog.csdn.net/nileader/article/details/43014541
Zookeeper授权访问测试问题
09-29
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。这篇文章主要介绍了Zookeeper授权访问测试,需要的朋友可以参考下
zookeeper授权访问漏洞修复
weixin_43966996的博客
05-08 1019
zookeeper进行服务ACL限制访问
[2021]Zookeeper getAcl命令授权访问漏洞概述与解决
NBA首席形象大使坤坤
04-07 2715
今天在漏洞扫描的时候蹦出来一个zookeeper漏洞问题,即使是非zookeeper的节点,或者是非集群内部节点,也可以通过nc扫描2181端口,获取极多的zk信息。关于漏洞的详细描述参考apache zookeeper官方概述:CVE-2018-8012: Apache ZooKeeper Quorum Peer mutual authentication 漏洞演示: 这是一个CDP集群,里面有三个物理节点,每个节点各自有一个zk实例,注意看IP。 另开一台非集群节点的连接,使用echo conf
Zookeeper03——权限管理
November22的博客
03-17 1032
1.简介
SpringSecurity5.7+最新案例 -- 授权 --
热门推荐
mose-x
08-07 3万+
书接上回 SpringSecurity5.7+最新案例 -- 用户名密码+验证码+记住我······ 本文 继续处理SpringSecurity授权 ...... 目前由 难 -> 简,即自定义数据库授权,注解授权,config配置授权
常用命令之zookeeper命令
月生的静心苑
03-09 1万+
ZooKeeper提供了一个非常简单的命令行客户端zkCli,它在ZooKeeper安装目录的bin目录下。输入./zkCli.sh命令默认连接本地127.0.0.1:2181节点,如果我们需要连接远程节点可以使用./zkCli.sh -server ip:2181方式进行连接。连接过程中会输出一大堆信息。当连接成功后,将进入ZooKeeper的交互式模式。博文实验环境: - 操作系统:centos7.6 - zookeeper版本:3.6.3
zookeeper授权访问漏洞
05-01
Zookeeper是一个开源的分布式协调服务,它主要用于分布式系统中的配置管理、命名服务、同步服务和集群控制等方面。然而,在使用Zookeeper时,存在一个授权访问漏洞。这个漏洞可以让攻击者通过授权的方式获取Zookeeper的敏感信息,从而导致系统的失效和安全性问题。 当攻击者利用这个漏洞时,他们可以轻松地访问Zookeeper节点和数据,而不需要任何授权和认证。这意味着攻击者可以轻松地查看节点上的数据、更改配置和控制集群,甚至可以对节点执行恶意操作,从而导致系统完全失效。 为了避免这个漏洞对系统造成的影响,我们需要采取一系列措施来保护Zookeeper。首先,我们需要设置Zookeeper访问控制,通过用户名和密码来限制对节点的访问。其次,我们需要对节点进行加密,确保敏感信息不被泄露。最后,我们需要确保Zookeeper的软件版本是最新的,并且及时修补漏洞。 总之,Zookeeper授权访问漏洞是一个存在风险的漏洞,需要我们重视。我们需要采取多重措施来保护Zookeeper节点的安全,防止攻击者利用漏洞造成的损失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Liu_Shihao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值