hbase内置zookeeper容器镜像升级修复漏洞

最新推荐文章于 2024-04-07 08:52:24 发布
最新推荐文章于 2024-04-07 08:52:24 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: zookeeper 文章标签: 安全 docker zookeeper hbase
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangyi_CSDN/article/details/108651513
版权

hbase内置zookeeper容器镜像升级修复漏洞

漏洞分析说明

漏洞名称及描述:
名称: Apache ZooKeeper安全限制绕过漏洞(CVE-2018-8012)
描述:
Apache Zookeeper能够为大型分布式计算提供开源的分布式配置服务、同步服务和命名注册等功能。x000D
x000D
Apache ZooKeeper 3.4.10之前版本、3.5.0-alpha版本至3.5.3-beta版本,在身份验证/授权检测实现中存在安全漏洞,可使任意端点加入群集,修改内容。
解决办法:
https://lists.apache.org/thread.html/c75147028c1c79bdebd4f8fa5db2b77da85de2b05ecc0d54d708b393@%3Cdev.zookeeper.apache.org%3E

名称: Apache Zookeeper 缓冲区溢出漏洞(CVE-2016-5017)
漏洞描述:
Apache Zookeeper是美国阿帕奇(Apache)软件基金会的一个软件项目,它能够为大型分布式计算提供开源的分布式配置服务、同步服务和命名注册等功能。
Apache Zookeeper 3.4.9之前的版本和3.5.3之前的3.5.x版本中的C cli shell存在缓冲区溢出漏洞。当使用‘cmd:’批处理时,攻击者可借助较长的命令字符串利用该漏洞造成拒绝服务。
解决办法:
https://zookeeper.apache.org/security.html#CVE-2016-5017

漏洞解决办法分析:
通过翻阅上面两篇文章,可以考虑把当前zookeeper版本升级到3.4.10或者3.5.4-beta或更高版本 可修复上面两个漏洞
在这里插入图片描述在这里插入图片描述

查看镜像构建历史及zookeeper版本

由于该容器镜像为其他人员制作,没有留下任何参考文档,而且hbase内置的zookeeper容器镜像被扫描出漏洞,通过docker history --no-trunc查询到关系信息如下:

首先查看镜像构建历史:
docker history --no-trunc $IP/alaudaorg/hbase:a3630ce3101408c34c306103203044b4fc7ffd85
在这里插入图片描述
从中发现内置zookeeper的hbase的地址:
https://mirrors.tuna.tsinghua.edu.cn/apache/hbase

查看zookeeper及hbase版本:
在这里插入图片描述

在这里插入图片描述

访问清华大学开源网站:
在这里插入图片描述
根据当前hbase版本为1.2.6,结合上图的建议,考虑下载1.4.13版本的hbase :
wget https://mirrors.tuna.tsinghua.edu.cn/apache/hbase/1.4.13/hbase-1.4.13-bin.tar.gz
解压收进入hbase-1.4.13/lib/查看有关zookeeper的jar包是多少版本:
在这里插入图片描述
发现zookeeper应该刚好是没有上面提及漏洞的版本,下面考虑,根据下载的hbase做新的镜像同时更换到生产和测试环境(生产和测试环境用的同一个镜像,因为镜像ID相同):
生产环境 :
在这里插入图片描述
测试环境 :
在这里插入图片描述

通过docker commit制作新的镜像

找一台主机,拉取当前运行的镜像到本地,启动一个容器:
docker run -d -P $IP/alaudaorg/hbase:a3630ce3101408c34c306103203044b4fc7ffd85

docker exec -it 882e30ae13a3 bash,进入容器执行如下操作:
另外单独备份配置文件:
tar -czvf hbase-conf.tar.gz conf/

备份原有整个hbase版本:
在这里插入图片描述
把下载的新版本hbase拷贝到容器,并解压缩:
docker cp hbase-1.4.13-bin.tar.gz 882e30ae13a3:/root
tar -xzvf hbase-1.4.13-bin.tar.gz

删除原来版本hbase,复制新版本到/opt下,并重命名,之后杀掉当前容器里面无关的进程,并退出当前容器,过程如下:
在这里插入图片描述
忘记还原配置文件,下面还原配置文件,删除新版本的默认配置文件,并解压久版本的配置文件到 /opt/hbase/下
cp -a hbase-conf.tar.gz /opt/hbase/
tar -xzvf hbase-conf.tar.gz
rm -rf hbase-conf.tar.gz

把当前容器提交为一个新的镜像:
docker commit 882e30ae13a3 $IP/alaudaorg/hbase:gzxc20200917-01

再次通过 docker history --no-trunc 命令 查看新的镜像是否存在诸如CMD/ENTRYPOINT之类的镜像层把之前的覆盖掉,如果有,则有可能容器起不来,需要用Dockerfile方式构建镜像,本次提交不存在这一的情况:
在这里插入图片描述

把镜像更换到生产和测试环境

先把镜像推送到镜像仓库:
docker push $IP/alaudaorg/hbase:gzxc20200917-01

在通修改yaml中镜像地址:
cd /root/private_1.13-PKG-20181024/yaml/onebox
cp common.yaml common.yaml-hbase-zk.200917bak
vim common.yaml在这里插入图片描述

用docker-compose更新:
docker-compose -f common.yaml up -d在这里插入图片描述

验证

更新前容器里面进程:
在这里插入图片描述
更新后容器启动,并且里面进程如下:
在这里插入图片描述在这里插入图片描述
端口如下:
在这里插入图片描述
OK! 正常,zookeeper版本升级了,达到预期,等待复扫结果,是否还有漏洞!

参考:
https://www.orchome.com/484
https://blog.csdn.net/u013673976/article/details/47279707

yangyi_CSDN
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2018最新linux漏洞,Apache ZooKeeper安全限制绕过漏洞(CVE-2018-8012)
weixin_42467627的博客
05-16 2289
Apache ZooKeeper安全限制绕过漏洞(CVE-2018-8012)发布日期:2018-05-21更新日期:2018-05-30受影响系统:Apache Group ZooKeeper < 3.4.10Apache Group ZooKeeper 3.5.0-alpha-3.5.3-beta描述:BUGTRAQ ID: 104253CVE(CAN) ID: CVE-2018-80...
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
Zookeeper漏洞大全
热门推荐
smart的博客
08-11 1万+
Zookeeper漏洞大全Zookeeper漏洞总结Apache Zookeeper 访问控制错误漏洞Apache Zookeeper 授权问题漏洞Apache Zookeeper 安全漏洞Apache Zookeeper 缓冲区溢出漏洞Apache Zookeeper 信任管理漏洞 Zookeeper漏洞总结 Apache Zookeeper 访问控制错误漏洞 漏洞编号 CVE-2018-8012 风险等级 高危 影响版本 Apache Zookeeper:- Apache Zookeeper:3.4.
zookeeper从3.4.8升级到3.4.14
weixin_30305735的博客
08-13 1073
升级背景说明: 最近在做系统安全扫描时,扫出来zookeeper存在安全漏洞 Apache Zookeeper 缓冲区溢出漏洞(CVE-2016-5017)官方给出的升级建议:地址:https://zookeeper.apache.org/security.html#CVE-2016-5017 Mitigation: It is important to use the ful...
关于Zookeeper未授权访问漏洞的解决办法
DreamsArchitects的博客
09-12 9462
一、介绍 搭建完zookeeper集群后,收到了关于zookeeper漏洞信息: 我们在使用zookeeper提供的服务的时候会发现,只要知道zk服务端的IP和Port,任务用户或者客户端根本不需要任何的认证就可以连上zk的服务端,并且可以对znode进行增删等操作。这样数据是非常不安全的,极易被攻击和篡改。 zookeeper解决这个问题的手段是ACL(access control list)机制,即访问控制列表。 1.权限操作 权限permission:zookeeper目前支持下面一些权限: C
zookeeper平滑升级_zookeeper从3.4.8升级到3.4.14
weixin_39685130的博客
12-19 1547
升级背景说明:最近在做系统安全扫描时,扫出来zookeeper存在安全漏洞Apache Zookeeper 缓冲区溢出漏洞(CVE-2016-5017)官方给出的升级建议:地址:https://zookeeper.apache.org/security.html#CVE-2016-5017Mitigation: It is important to use the fully featured/s...
hbase配置内置zookeeper
06-21
hbase配置内置zookeeperhbase配置内置zookeeper
hadoop+hbase+zookeeper集群配置流程及文件
08-28
在大数据处理领域,Hadoop、HBaseZookeeper是三个至关重要的组件,它们共同构建了一个高效、可扩展的数据处理和存储环境。以下是关于这些技术及其集群配置的详细知识。 首先,Hadoop是一个开源的分布式计算框架,...
Hadoop、HBaseZookeeper安装部署
04-17
在大数据处理领域,Hadoop、HBaseZookeeper是三个至关重要的组件,它们共同构建了高效、可扩展的数据存储和管理基础设施。以下是关于这三个技术的详细介绍以及安装部署的关键步骤。 **Hadoop** 是一个开源的...
Hbasezookeeper笔记备份.rar
08-12
HbaseZookeeper深度解析》 在大数据领域,HbaseZookeeper是两个至关重要的组件,它们在分布式系统中的作用不可忽视。本篇笔记主要围绕这两个技术进行深入探讨,结合尚硅谷的视频教程资源,旨在帮助读者全面...
zookeeper-3.6.3.jar
06-01
动物园管理员服务器 org.apache.zookeeper/zookeeper/3.6.3/zookeeper-3.6.3.jar
安全验证漏洞修复总结
11-17
安全验证漏洞修复总结 `
zookeeper安全漏洞修复
01-17
ZooKeeper 未授权访问【原理扫描】,zookeeper安全漏洞修复方法和操作步骤
hbasezookeeper配置
03-08
HBaseZooKeeper 配置详解 HBaseZooKeeper 是两个非常重要的分布式系统组件,分别用于分布式数据库和分布式协调服务。今天,我们将详细介绍如何配置 HBaseZooKeeper,以便更好地理解它们之间的交互。 ...
zookeeper未鉴权访问漏洞处理
weixin_44704406的博客
12-27 5954
zookeeper未鉴权访问漏洞处理
Apache Zookeeper未授权访问漏洞
q80880117的博客
07-11 807
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)格式:setAcl 路径 ip:xxx.xxx.xxx.xx1:cdrwa,ip:xxx.xxx.xxx.xx2:cdrwa。例如:setAcl /zkaa ip:127.0.0.1:cdrwa,ip:10.111.134.6:cdrwa。注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。
Apache HBase安全
悦分享
10-06 1750
当使用org.apache.hadoop.hbase.security.visibility.VisibilityClient类提供的addLabels(conf, labels)方法创建标签并通过扫描或获取在授权中传递标签时,标签可以包含UTF-8字符,以及可见标签中通常使用的逻辑运算符以及常规Java符号,而不需要任何转义方法。如果没有提供足够的文件系统保护(授权和身份验证),HBase级别授权控制(ACL,可见性标签等)就没有意义,因为用户可以随时访问文件系统中的数据。标签存储在HFiles自身中。
[2021]Zookeeper getAcl命令未授权访问漏洞概述与解决
最新发布
NBA首席形象大使坤坤
04-07 2669
今天在漏洞扫描的时候蹦出来一个zookeeper漏洞问题,即使是非zookeeper的节点,或者是非集群内部节点,也可以通过nc扫描2181端口,获取极多的zk信息。关于漏洞的详细描述参考apache zookeeper官方概述:CVE-2018-8012: Apache ZooKeeper Quorum Peer mutual authentication 漏洞演示: 这是一个CDP集群,里面有三个物理节点,每个节点各自有一个zk实例,注意看IP。 另开一台非集群节点的连接,使用echo conf
Hadoop&hbase监控页面未授权访问漏洞处理方案验证过程实现
weixin_42621434的博客
10-29 9084
Hadoop&amp;hbase监控页面未授权访问漏洞处理方案验证 Hadoop:监控页面授权登录配置步骤: 1 页面弹出框授权 1.1页面弹出框授权配置 1.上传附件的jar包hadoop-http-auth-e3base.jar到$HADOOP_HOME/share/hadoop/common目录下 并分发到另外两台主机 2.修改$HADOOP_HOME/etc/hadoop/core-sit...
hbasezookeeper兼容版本
10-29
HBaseZooKeeper是两个独立的开源项目,它们之间有一定的兼容性。HBase是一个分布式的、可扩展的非关系型数据库,而ZooKeeper是一个用于管理和协调分布式系统的开源组件。 HBaseZooKeeper的兼容版本主要体现在两个方面:版本对应和依赖关系。 首先,HBase的每个版本都会指定所兼容的ZooKeeper版本。这样可以确保HBase的正常运行与所使用的ZooKeeper版本是兼容的。在安装或升级HBase时,需要根据HBase的版本选择合适的ZooKeeper版本。如果使用不兼容的ZooKeeper版本,可能会导致HBase无法正常工作。 其次,HBase作为一个分布式数据库,依赖于ZooKeeper来进行节点管理、协调和分布式锁等操作。因此,HBase的稳定性和性能与所使用的ZooKeeper版本有一定的关系。一般情况下,HBase最新版本会支持较新的ZooKeeper版本,以充分利用ZooKeeper的新功能和性能改进。但是,如果HBase的版本较旧,可能仅支持较旧的ZooKeeper版本。 总结而言,HBaseZooKeeper的兼容版本需要根据实际情况进行选择。一般来说,应该选择HBase官方推荐的与所使用HBase版本兼容的ZooKeeper版本,以确保系统的稳定性和性能。在进行升级或安装时,应该查阅相关文档,并与官方社区保持联系,以获取最新的兼容版本信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值