Zookeeper漏洞大全

最新推荐文章于 2024-08-11 00:15:00 发布
最新推荐文章于 2024-08-11 00:15:00 发布
阅读量1w 收藏 10
点赞数 6
分类专栏: 安全 文章标签: 安全漏洞 zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_35488871/article/details/107927113
版权

Zookeeper漏洞大全

Zookeeper漏洞总结

Apache Zookeeper 访问控制错误漏洞
  • 漏洞编号
    CVE-2018-8012
  • 风险等级
    高危
  • 影响版本
    Apache Zookeeper:-
    Apache Zookeeper:3.4.0
    Apache Zookeeper:3.4.1
    Apache Zookeeper:3.4.2
    Apache Zookeeper:3.4.3
    Apache Zookeeper:3.5.3:测试版
  • 整改建议
    目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
    https://issues.apache.org/jira/browse/ZOOKEEPER-1045
Apache Zookeeper 授权问题漏洞
  • 漏洞编号
    CVE-2019-0201
  • 风险等级
    中危
  • 影响版本
    Apache ZooKeeper 1.0.0版本至3.4.13版本和3.5.0-alpha版本至3.5.4-beta版本
  • 整改建议
    目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
    https://zookeeper.apache.org/security.html#CVE-2019-0201
Apache Zookeeper 安全漏洞
  • 漏洞编号
    CVE-2017-5637
  • 风险等级
    高危
  • 影响版本
    Apache Zookeeper 3.4.9版本和3.5.2版本
  • 整改建议
    目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
    https://issues.apache.org/jira/browse/ZOOKEEPER-2693
Apache Zookeeper 缓冲区溢出漏洞
  • 漏洞编号
    CVE-2016-5017
  • 风险等级
    中危
  • 影响版本
    Apache ZooKeeper 1.0.0版本至3.4.13版本和3.5.0-alpha版本至3.5.4-beta版本
  • 整改建议
    目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
    https://zookeeper.apache.org/security.html#CVE-2016-5017
Apache Zookeeper 信任管理漏洞
  • 漏洞编号
    CVE-2014-0085
  • 风险等级
    低危
  • 影响版本
    Apache Zookeeper:-
    Redhat Jboss_fuse:6.0.0
    Redhat Jboss_a-Mq:6.0.0
  • 整改建议
    目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
    http://zookeeper.apache.org/

关注公众号,一起分享实用安全技术,关注安全最新事件,记录工作常见问题,吐槽生活真心操蛋。
在这里插入图片描述

rel~smart
关注
专栏目录
web渗透测试漏洞复现:ZooKeeper未授权漏洞复现
HACKONE的博客
03-30 942
ZooKeeper 是一个分布式的、开源的协调服务,最初由雅虎开发,现隶属于 Apache 软件基金会,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件,旨在为大型分布式系统提供一致性的服务。ZooKeeper 的设计目的是简化分布式应用程序的开发和维护,它通过提供一组简单易用的原语和数据模型,为分布式系统中的进程提供协作服务。
Zookeeper未授权访问漏洞修复
码农养家
09-18 820
Zookeeper未授权访问漏洞修复
漏洞“Apache Zookeeper 授权问题漏洞(CVE-2019-0201)”详情
liangkaiping0525的博客
06-30 2398
user appuser; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid /app/nginx/logs/nginx.pid; events { worker_connections 1024; } http { include mime.types; .
zookeeper安全漏洞修复
01-17
ZooKeeper 未授权访问【原理扫描】,zookeeper安全漏洞修复方法和操作步骤
Dubbo,Zookeeper,NSF,Druid,CouchDB未授权访问漏洞(附带修复方法)
最新发布
C233333235的博客
08-11 828
Dubbo是阿⾥巴巴公司开源的⼀个⾼性能优秀的 服务框架,使得应⽤可通过⾼性能的 RPC实现服务的输 出和输⼊功能,可以和 Spring框架⽆缝集成。dubbo 因配置不当导致未授权访问漏洞
ZooKeeper 未授权访问漏洞
01-30 1万+
ZooKeeper 安装: Zookeeper的默认开放端口是2181 wget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.4.10/zookeeper-3.4.10.tar.gz tar -zxvf zookeepre-3.4.10.tar.gz cd zookeeper-3...
未授权访问:ZooKeeper 未授权访问漏洞
qq_68163788的博客
05-15 2531
zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。 Zookeeper的默认开放端口是2181。 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。
ZooKeeper 未授权访问漏洞处理方法
08-31
### ZooKeeper 未授权访问漏洞处理方法 #### 一、漏洞背景及原理 **ZooKeeper** 是一个分布式的协调服务框架,它提供了一种高效可靠的解决方案来管理和维护分布式环境中不同节点之间的同步与协调问题。然而,由于...
zookeeper未授权访问漏洞修复
weixin_43966996的博客
05-08 2325
zookeeper进行服务ACL限制访问。
Apache Zookeeper 未授权访问漏洞【原理扫描】
萌兔兔MMQ!!
11-25 1万+
漏洞名称 Apache Zookeeper 未授权访问漏洞【原理扫描】风险等级 高高可利用 否CVE编号 -端口(服务) 2181(zookeeper)风险描述 ZooKeeper是一个高性能的分布式数据一致性解决方案,它将复杂的,容易出错的分布式一致性服务封装起来,构成一个高效可靠的原语集,并提供一系列简单易用的接口给客户使用。ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
zookeeper-3.4.6中zkfuse的bug修复
11-22
详见http://blog.csdn.net/cashey1991/article/details/41384009
zookeeper-3.4.6_zookeeper_
10-04
注册中心 zookeeper-3.4.6
zookeeper未授权漏洞实战+复现
我的博客
05-12 8116
测试授权目标时,通过工具扫描出了zookeeper未授权(CVE-2014-085) 之后就是进行漏洞利用 由于目标系统较敏感,没有执行其它操作,所以准备本地复现 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,安装zookeeper后 默认端口为2181 这个为配置文件 直接进行漏洞利用 echo envi |nc xxxxx 2181 直接输出目标服务器环境信息,非常详细 os名称 版本 服务器名称 版本...
漏洞修复 Zookeeper、MySQL、Elasticsearch
yuansheng730的博客
02-13 1680
zookeeper、MySQL、Elasticserch、http 相关漏洞修复
zookeeper未授权漏洞复现及处理
kofterry的专栏
09-18 3758
不知道你有没有注意,zk服务端启动后,默认会启动这几个具有world和cdrwa权限的znode,“/” "/zookeeper" "/zookeeper/config"和"/zookeeper/quota"(根据zookeeper的版本不同可能存在不同,并且这几个节点虽然具有world和cdrwa权限,但是是无法删除的,不知道为什么,好在我们可以给它设置ACL列表。重要的是构建环境把我在配置文件配置的user信息给删掉了(我不知道)才开始跑的,更坑的是它运行完后直接清除日志了,哪里错了都看不到。
如何快速上手 Zookeeper 未授权漏洞_zookeeper-unauth(1)
2401_83946044的博客
04-16 503
第一步:我们需要先连接上 Zookeeper 并得到数据,搜索一下 node.js 有没有相关连接 Zookeeper 的模块,运气很好找到了node-zookeeper-client这个模块,它提供了连接函数和一些处理数据的函数。第二步:我们的 extension.js 需要和弹出的 html 窗口进行双向的数据传输,这里参考了@go0p 师傅的 Redis-cli 插件写法(下载完插件在 extensions 目录下找到插件文件夹查看)。extension.js 内容如下。
Linux系统安全加固-ZooKeeper未授权访问漏洞处理
热门推荐
极墨
06-06 2万+
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper的目标就是封装好复杂易出错的关键服务,将简单易用的接口和性能高效、功能稳定的系统提供给用户。 在通常情况下,zookeeper允许...
Apache Zookeeper安全漏洞
04-16
Apache ZooKeeper是一个开源的分布式协调服务,用于管理和协调分布式应用程序的配置信息、命名服务、分布式锁等。在过去的几年中,Apache ZooKeeper曾经发现了一些安全漏洞,以下是其中一些常见的安全漏洞: 1. 未经身份验证的访问:如果未正确配置访问控制列表(ACL),攻击者可能会通过未经身份验证的方式访问ZooKeeper集群。这可能导致敏感数据泄露或未经授权的更改。 2. 信息泄露:在某些情况下,ZooKeeper可能会泄露敏感信息,例如节点路径、数据内容等。攻击者可以利用这些信息来进一步攻击系统。 3. 拒绝服务(DoS)攻击:攻击者可以通过发送大量请求或恶意请求来耗尽ZooKeeper服务器的资源,导致服务不可用。 4. 未经授权的访问:如果未正确配置访问控制列表(ACL),攻击者可能会获得对ZooKeeper集群的未经授权访问权限,从而执行未经授权的操作。 为了保护Apache ZooKeeper集群的安全,以下是一些建议的安全措施: 1. 配置访问控制列表(ACL):确保只有经过身份验证的用户才能访问ZooKeeper集群,并限制其权限。 2. 使用安全通信协议:使用SSL/TLS等安全通信协议来保护ZooKeeper集群中的数据传输。 3. 定期更新和升级:及时更新和升级ZooKeeper版本,以获取最新的安全修复和功能改进。 4. 监控和日志记录:实施监控和日志记录机制,及时检测和响应潜在的安全事件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值