Zookeeper漏洞大全

最新推荐文章于 2025-03-25 15:19:37 发布
最新推荐文章于 2025-03-25 15:19:37 发布
阅读量1w 收藏 11
点赞数 6
分类专栏: 安全 文章标签: 安全漏洞 zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_35488871/article/details/107927113
版权

Zookeeper漏洞大全

Zookeeper漏洞总结

Apache Zookeeper 访问控制错误漏洞
  • 漏洞编号
    CVE-2018-8012
  • 风险等级
    高危
  • 影响版本
    Apache Zookeeper:-
    Apache Zookeeper:3.4.0
    Apache Zookeeper:3.4.1
    Apache Zookeeper:3.4.2
    Apache Zookeeper:3.4.3
    Apache Zookeeper:3.5.3:测试版
  • 整改建议
    目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
    https://issues.apache.org/jira/browse/ZOOKEEPER-1045
Apache Zookeeper 授权问题漏洞
  • 漏洞编号
    CVE-2019-0201
  • 风险等级
    中危
  • 影响版本
    Apache ZooKeeper 1.0.0版本至3.4.13版本和3.5.0-alpha版本至3.5.4-beta版本
  • 整改建议
    目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
    https://zookeeper.apache.org/security.html#CVE-2019-0201
Apache Zookeeper 安全漏洞
  • 漏洞编号
    CVE-2017-5637
  • 风险等级
    高危
  • 影响版本
    Apache Zookeeper 3.4.9版本和3.5.2版本
  • 整改建议
    目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
    https://issues.apache.org/jira/browse/ZOOKEEPER-2693
Apache Zookeeper 缓冲区溢出漏洞
  • 漏洞编号
    CVE-2016-5017
  • 风险等级
    中危
  • 影响版本
    Apache ZooKeeper 1.0.0版本至3.4.13版本和3.5.0-alpha版本至3.5.4-beta版本
  • 整改建议
    目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
    https://zookeeper.apache.org/security.html#CVE-2016-5017
Apache Zookeeper 信任管理漏洞
  • 漏洞编号
    CVE-2014-0085
  • 风险等级
    低危
  • 影响版本
    Apache Zookeeper:-
    Redhat Jboss_fuse:6.0.0
    Redhat Jboss_a-Mq:6.0.0
  • 整改建议
    目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
    http://zookeeper.apache.org/

关注公众号,一起分享实用安全技术,关注安全最新事件,记录工作常见问题,吐槽生活真心操蛋。
在这里插入图片描述

web渗透测试漏洞复现:ZooKeeper未授权漏洞复现
HACKONE的博客
03-30 1717
ZooKeeper 是一个分布式的、开源的协调服务,最初由雅虎开发,现隶属于 Apache 软件基金会,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件,旨在为大型分布式系统提供一致性的服务。ZooKeeper 的设计目的是简化分布式应用程序的开发和维护,它通过提供一组简单易用的原语和数据模型,为分布式系统中的进程提供协作服务。
Zookeeper未授权访问漏洞修复
码农养家
09-18 1285
Zookeeper未授权访问漏洞修复
zookeeper安全漏洞修复
01-17
ZooKeeper 未授权访问【原理扫描】,zookeeper安全漏洞修复方法和操作步骤
ZooKeeper 未授权访问漏洞
01-30 1万+
ZooKeeper 安装: Zookeeper的默认开放端口是2181 wget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.4.10/zookeeper-3.4.10.tar.gz tar -zxvf zookeepre-3.4.10.tar.gz cd zookeeper-3...
Zookeeper未授权漏洞修复方案
最新发布
AoiMukou01的博客
03-25 642
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。检查版本信息,zookeeper版本为3.4.14,属于漏洞覆盖范围内。配置白名单后,未授权已无法利用。
未授权访问:ZooKeeper 未授权访问漏洞
qq_68163788的博客
05-15 4410
zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。 Zookeeper的默认开放端口是2181。 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。
ZooKeeper 未授权访问漏洞处理方法
08-31
### ZooKeeper 未授权访问漏洞处理方法 #### 一、漏洞背景及原理 **ZooKeeper** 是一个分布式的协调服务框架,它提供了一种高效可靠的解决方案来管理和维护分布式环境中不同节点之间的同步与协调问题。然而,由于...
zookeeper漏洞
01-15
### 关于ZooKeeper安全漏洞及其修复 #### ZooKeeper未授权访问漏洞概述 ZooKeeper 默认配置允许所有 IP 地址无权限访问,这带来了严重的安全隐患。攻击者可以利用此特性执行恶意操作,如读取敏感数据或修改集群...
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
漏洞“Apache Zookeeper 授权问题漏洞(CVE-2019-0201)”详情
liangkaiping0525的博客
06-30 2689
user appuser; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid /app/nginx/logs/nginx.pid; events { worker_connections 1024; } http { include mime.types; .
zookeeper-3.4.6中zkfuse的bug修复
11-22
详见http://blog.csdn.net/cashey1991/article/details/41384009
zookeeper-3.4.6_zookeeper_
10-04
注册中心 zookeeper-3.4.6
Zookeeper未授权访问的漏洞处理
Jeuneke的博客
08-28 1854
这个命令可以用于获取Zookeepr(下面有zk代替)目标服务器的环境信息、部署路径、版本等敏感信息。如果这些信息被恶意利用,确实可能导致安全漏洞,进而对网络和服务器安全构成威胁。设置权限后,不同的IP服务器还是能访问到,zookeeper相应的路径,版本,还是有安全隐患.1.执行zkCli.sh 命令后,查看zk的当前权限。配置防火墙策略,只允许指定IP访问2181端口。anyone任何人可以访问。
zookeeper未授权漏洞实战+复现
我的博客
05-12 8728
测试授权目标时,通过工具扫描出了zookeeper未授权(CVE-2014-085) 之后就是进行漏洞利用 由于目标系统较敏感,没有执行其它操作,所以准备本地复现 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,安装zookeeper后 默认端口为2181 这个为配置文件 直接进行漏洞利用 echo envi |nc xxxxx 2181 直接输出目标服务器环境信息,非常详细 os名称 版本 服务器名称 版本...
漏洞修复 Zookeeper、MySQL、Elasticsearch
yuansheng730的博客
02-13 1863
zookeeper、MySQL、Elasticserch、http 相关漏洞修复
zookeeper未授权漏洞复现及处理
kofterry的专栏
09-18 4018
不知道你有没有注意,zk服务端启动后,默认会启动这几个具有world和cdrwa权限的znode,“/” "/zookeeper" "/zookeeper/config"和"/zookeeper/quota"(根据zookeeper的版本不同可能存在不同,并且这几个节点虽然具有world和cdrwa权限,但是是无法删除的,不知道为什么,好在我们可以给它设置ACL列表。重要的是构建环境把我在配置文件配置的user信息给删掉了(我不知道)才开始跑的,更坑的是它运行完后直接清除日志了,哪里错了都看不到。
如何快速上手 Zookeeper 未授权漏洞_zookeeper-unauth(1)
2401_83946044的博客
04-16 645
第一步:我们需要先连接上 Zookeeper 并得到数据,搜索一下 node.js 有没有相关连接 Zookeeper 的模块,运气很好找到了node-zookeeper-client这个模块,它提供了连接函数和一些处理数据的函数。第二步:我们的 extension.js 需要和弹出的 html 窗口进行双向的数据传输,这里参考了@go0p 师傅的 Redis-cli 插件写法(下载完插件在 extensions 目录下找到插件文件夹查看)。extension.js 内容如下。
Linux系统安全加固-ZooKeeper未授权访问漏洞处理
热门推荐
极墨
06-06 2万+
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper的目标就是封装好复杂易出错的关键服务,将简单易用的接口和性能高效、功能稳定的系统提供给用户。 在通常情况下,zookeeper允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值