修复现网漏洞扫描结果项:ZooKeeper 未授权访问[原理扫描]

最新推荐文章于 2025-03-25 15:19:37 发布
最新推荐文章于 2025-03-25 15:19:37 发布
阅读量1.5k 收藏 8
点赞数 8
分类专栏: 大数据 文章标签: zookeeper 分布式 云原生 漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sencloud/article/details/135754452
版权

项目场景:

某主机漏扫后,有高危风险项需要修复:ZooKeeper 未授权访问[原理扫描]

问题描述

现网zookeeper是kafka自带的,版本号2.8.1 (Commit:839b886f9b732b15)

解决方案:

使用最简单的处理方案,端口加白。
CentOS7.9下,修改/etc/firewalld/zones/public.xml文件,内容为:

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
最低0.47元/天 解锁文章
web渗透测试漏洞ZooKeeper未授权漏洞
HACKONE的博客
03-30 1843
ZooKeeper 是一个分布式的、开源的协调服务,最初由雅虎开发,隶属于 Apache 软件基金会,是Google的Chubby一个开源的实,是Hadoop和Hbase的重要组件,旨在为大型分布式系统提供一致性的服务。ZooKeeper 的设计目的是简化分布式应用程序的开发和维护,它通过提供一组简单易用的原语和数据模型,为分布式系统中的进程提供协作服务。
Zookeeper未授权访问漏洞修复
码农养家
09-18 1351
Zookeeper未授权访问漏洞修复
Kafka自带的Zookeeper未授权访问漏洞
qq_36923426的博客
12-18 9317
漏洞描述 Zookeeper的默认开放端口是2181.Zookeeper安装部署之后默认情况下不需要任何身份验证。造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏。 修复建议 一、添加访问控制,配置服务来源地址限制策略(方便实惠、干净卫生) 在zookeeper.properties中添加clientPortAddress=127.0.0.1 二、增加Zookeeper的认证配置(麻烦) 1)增加认证用户 addauth digest user1
未授权访问ZooKeeper 未授权访问漏洞
qq_68163788的博客
05-15 4575
zookeeper分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。 Zookeeper的默认开放端口是2181。 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。
Zookeeper未授权漏洞修复方案
最新发布
AoiMukou01的博客
03-25 982
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。检查版本信息,zookeeper版本为3.4.14,属于漏洞覆盖范围内。配置白名单后,未授权已无法利用。
存在 ZooKeeper 未授权访问原理扫描】--通过防火墙策略进行修复
qyq88888的专栏
06-06 943
ELK集群存在 ZooKeeper 未授权访问原理扫描
zk添加访问白名单
独孤飞磊
11-20 3000
ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda 1.登陆zookeeper 进入zookeeper安装目录下的bin目录下执行 ./zkCli.sh -server ip:port 例如: ./zkCli.sh -server 10.100.254.107:2181 2.查看当前权限 getAcl / 3.添加可访问IP setAcl / ip:10.100.254.113:cdrwa,ip:10.100
zookeeper 未授权访问扫描脚本
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
10-25 924
# coding=utf-8 import socket def check(ip, port, timeout): try: socket.setdefaulttimeout(timeout) s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((ip, int(port))) flag = "envi" # envi # d
Zookeeper未授权访问测试问题
01-20
前言   ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。   zookeeper 未授权访问是指安装部署之后默认情况下不需要任何身份验证,从而导致 zookeeper 被远程利用,导致大量服务级别的信息泄露。   默认使用端口:2181、2182。 探测Zookeeper服务开放   如使用nmap探测某个目标地址是否运行Zookeeper服务,探测2181端口开放。 root@kali:
zookeeper未授权访问修复建议
07-14
ZooKeeper 未授权访问修复建议 ZooKeeper 作为一个分布式应用程序协调服务,提供了高效、可靠的分布式锁、队列、节点管理等功能。但是,如果 ZooKeeper 没有正确地配置访问权限,就可能会出未授权访问的问题,...
ZooKeeper 未授权访问漏洞处理方法
08-31
### ZooKeeper 未授权访问漏洞处理方法 #### 一、漏洞背景及原理 **ZooKeeper** 是一个分布式的协调服务框架,它提供了一种高效可靠的解决方案来管理和维护分布式环境中不同节点之间的同步与协调问题。然而,由于...
Kafka集群之-ZooKeeper未授权访问漏洞修复
weixin_39863120的博客
07-01 2885
配置 ZooKeeper 的配置文件,修改 文件,添加以下内容: 二、创建 JAAS 文件 在 ZooKeeper 的安装目录下的 目录中创建 文件,并编辑内容如下: 的含义是 ,添加一个用户名为 ,密码为 的认证用户,用户名和密码可以自行定义。因为如果要连接 ZooKeeper 是需要通过 SASL 认证的,所以需要配置环境变量,这里的环境变量主要是使用 文件中的 配置,会在连接时使用用户名和密码。 四、重启 ZooKeeper 服务 重启 ZooKeeper 服务,正常启动一般便无问题。
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
zookeeper未授权访问(CVE-2014-0085)漏洞修复建议
THZLYXX的博客
01-24 5344
xxxx为需要设置的四字命令,添加多命令请使用逗号进行隔开,请根据系统所需进行命令设置,请勿添加envi命令,如系统有使用此命令的需求请使用其他修复方法。1.进入zookeeper目录找到zoo.cfg文件,常见路径为/opt/zookeeper-3.4.13/conf/zoo.cfg。2.使用下面命令登录zookeeper命令中ip为容器ip如果直接安装在服务器上请使用服务器ip。2.使用vi编辑器打开zoo.cfg文件,在文件中添加四字命令白名单,添加命令如下。:访问(Access)
ZooKeeper未授权访问漏洞确认与修复
sdujava2011
02-27 4104
Zookeeper未授权访问漏洞确认与修复
Zookeeper未授权访问漏洞
weixin_53736204的博客
08-04 856
Zookeeper分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。Zookeeper的默认开放端口是 2181。Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:ki命令)。攻击者能够执行所有只允许由管理员运行的命令。
ZooKeeper 授权访问
weixin_30505751的博客
07-08 1073
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper的目标就是封装好复杂易出错的关键服务,将简单易用的接口和性能高效、功能稳定的系统提供给用户。 在通常情况下,zookeeper允许...
【安全问题】ZooKeeper未授权访问-zookeeper存在未授权访问漏洞
fengdijiang的专栏
09-02 9396
修复办法一(推荐指定IP白名单): 1. 找到目录 zkCli.sh文件目录 find / -name zkCli.sh 2. 进入目录 cd /opt/zookeeper-3.4.12/bin/ 3. 登录zk ./zkCli.sh -server zkip:zk端口 4. 查看当前权限: getAcl / 5、添加可访问IP setAcl / ip:192.168.1.xx:cdr...
zookeeper漏洞
01-15
### 关于ZooKeeper的安全漏洞及其修复 #### ZooKeeper未授权访问漏洞概述 ZooKeeper 默认配置允许所有 IP 地址无权限访问,这带来了严重的安全隐患。攻击者可以利用此特性执行恶意操作,如读取敏感数据或修改集群状态。 #### 漏洞过程 为了验证该漏洞的存在,在实验环境中搭建了一个默认配置下的 ZooKeeper 实例。通过扫描工具发能够轻易连接到目标服务器上的 ZooKeeper 服务端口并获取其内部信息[^1]。 #### 解决方案与最佳实践 针对上述提到的未授权访问风险,推荐采取以下措施来增强安全性: - **升级至最新稳定版本** 使用官方发布的最新版软件包安装或更新有部署环境中的 ZooKeeper 组件,因为新版本通常会修补已知缺陷并引入更多安全保障机制。 - **实施严格的 ACL 控制策略** 对特定路径设置细粒度的操作权限控制规则,仅授予必要的主机和服务账户相应的存取权能。例如命令 `setAcl / ip:192.168.6.190:cdrwa,ip:127.0.0.1:cdrwa,auth:admin:cdrwa` 可用于限定本地回环接口以及指定IP地址拥有完全管理权限[^3]。 - **启用身份认证功能** 配置 Kerberos 或其他形式的身份验证方式以防止未经授权人员冒充合法客户端发起请求。 ```bash # 设置ACL示例代码片段 echo "setAcl / ip:192.168.6.190:cdrwa,ip:127.0.0.1:cdrwa,auth:admin:cdrwa" | zkCli.sh -server localhost:2181 ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旻璿gg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值