Zookeeper未授权访问漏洞

最新推荐文章于 2024-06-06 17:55:16 发布
最新推荐文章于 2024-06-06 17:55:16 发布
阅读量1.4k 收藏 3
点赞数 10
文章标签: zookeeper 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxcz123123421/article/details/136166378
版权

Zookeeper漏洞介绍

Zookeeper支持某些特定的四字查询命令,可以未授权访问,从而泄露zookeeper服务的相关信息,这些信息可能作为进一步入侵其他系统和服务的跳板,利用这些信息实现权限提升并逐渐扩大攻击范围。
常见的四字命令有 envi、conf、cons、crst、dump、ruok、stat、srvr、mntr

envi漏洞场景

在这里插入图片描述

漏洞修复

1.禁止2181端口暴露,开启防火墙或只允许本地访问
2.开启ACL认证 (acl认证没试过,但是sasl认证是无效的

只允许本地访问(以docker为例):

docker run -d --name=zookeeper --network kafka-net -p 127.0.0.1:2181:2181  wurstmeister/zookeeper

其他应用要连接到zookeeper,比如kafka连接,使用

-e KAFKA_ZOOKEEPER_CONNECT=zookeeper:2181
杭城我最帅
关注
  • 10
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zookeeper授权漏洞复现及处理
kofterry的专栏
09-18 3675
不知道你有没有注意,zk服务端启动后,默认会启动这几个具有world和cdrwa权限的znode,“/” "/zookeeper" "/zookeeper/config"和"/zookeeper/quota"(根据zookeeper的版本不同可能存在不同,并且这几个节点虽然具有world和cdrwa权限,但是是无法删除的,不知道为什么,好在我们可以给它设置ACL列表。重要的是构建环境把我在配置文件配置的user信息给删掉了(我不知道)才开始跑的,更坑的是它运行完后直接清除日志了,哪里错了都看不到。
ZooKeeper 授权访问漏洞处理方法
08-31
ZooKeeper 授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
zookeeper增加权限登录验证
11-19
针对zookeeper的安全漏洞,增加了对访问ip地址的限制。
ZooKeeper 授权访问漏洞(CVE-2014-085) 复现
gclome的博客
07-31 1万+
最近想收集一下近几年的通用型漏洞,然后就找到了这个漏洞,那就先来这个漏洞吧! 01 ZooKeeper授权访问漏洞是什么 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper默认开启在2181端口,在进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、
存在 ZooKeeper 授权访问【原理扫描】--通过防火墙策略进行修复
最新发布
qyq88888的专栏
06-06 506
ELK集群存在 ZooKeeper 授权访问【原理扫描】
授权访问ZooKeeper 授权访问漏洞
qq_68163788的博客
05-15 1679
zookeeper分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。 Zookeeper的默认开放端口是2181。 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。
ZooKeeper授权访问漏洞总结
qq_45746681的博客
10-05 4160
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、ZooKeeper授权访问漏洞?二、复现1.搭建环境2.检测方法POC编写 前言 总结下常见的授权漏洞 一、ZooKeeper授权访问漏洞ZooKeeper是一个分布式的、开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。 它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper默认开
zookeeper授权访问(CVE-2014-0085)漏洞修复建议
THZLYXX的博客
01-24 3334
xxxx为需要设置的四字命令,添加多命令请使用逗号进行隔开,请根据系统所需进行命令设置,请勿添加envi命令,如系统有使用此命令的需求请使用其他修复方法。1.进入zookeeper目录找到zoo.cfg文件,常见路径为/opt/zookeeper-3.4.13/conf/zoo.cfg。2.使用下面命令登录zookeeper命令中ip为容器ip如果直接安装在服务器上请使用服务器ip。2.使用vi编辑器打开zoo.cfg文件,在文件中添加四字命令白名单,添加命令如下。:访问(Access)
ZooKeeper授权访问漏洞确认与修复
sdujava2011
02-27 3505
Zookeeper授权访问漏洞确认与修复
修复zookeeper授权访问漏洞
qq_28392947的博客
01-12 2046
【代码】修复zookeeper授权访问漏洞
Apache Zookeeper授权访问漏洞
q80880117的博客
07-11 818
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)格式:setAcl 路径 ip:xxx.xxx.xxx.xx1:cdrwa,ip:xxx.xxx.xxx.xx2:cdrwa。例如:setAcl /zkaa ip:127.0.0.1:cdrwa,ip:10.111.134.6:cdrwa。注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。
ZooKeeper通过ACL修复授权访问漏洞
05-06
ZooKeeper通过ACL修复授权访问漏洞,此文档适合学习
zookeeper授权访问修复建议
07-14
ZooKeeper 授权访问修复建议 ZooKeeper 作为一个分布式应用程序协调服务,提供了高效、可靠的分布式锁、队列、节点管理等功能。但是,如果 ZooKeeper 没有正确地配置访问权限,就可能会出现授权访问的问题,...
常见授权访问漏洞总结1
08-04
漏洞简介以及危害config set dir /var/spool/cron
zookeeper授权访问漏洞修复
weixin_43966996的博客
05-08 1132
zookeeper进行服务ACL限制访问
ZooKeeper信息泄露漏洞(CVE-2014-085)
热门推荐
Exploit的小站~
05-10 2万+
 研究ZooKeeper时顺便看到的,危害级别比较低,居然上了CVE,目测Apache有干爹照顾。 对于node的访问ZooKeeper提供了相应的权限控制,即使用访问控制列表ACL来进行实现。一个ACL只从属于一个特定的node,而对这个node的子节点是无效的,也就是不具有递归性。比如/app只能被10.10.10.1访问,/app/test为任何人都可以访问(world,anyon...
聊聊 Zookeeper 的 4lw 与信息安全
明哥的IT随笔
04-26 1434
最近有个客户在扫描安全漏洞时,反馈 ZOOKEEPER 存在信息泄露问题,即:ZooKeeper默认开启在2181端口,在进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境;
zookeeper 只能本地访问的问题解决方法
qq_32814555的博客
06-08 1233
https://blog.csdn.net/qq1416412681/article/details/97524528
zookeeper授权访问漏洞
05-01
Zookeeper是一个开源的分布式协调服务,它主要用于分布式系统中的配置管理、命名服务、同步服务和集群控制等方面。然而,在使用Zookeeper时,存在一个授权访问漏洞。这个漏洞可以让攻击者通过授权的方式获取Zookeeper的敏感信息,从而导致系统的失效和安全性问题。 当攻击者利用这个漏洞时,他们可以轻松地访问Zookeeper节点和数据,而不需要任何授权和认证。这意味着攻击者可以轻松地查看节点上的数据、更改配置和控制集群,甚至可以对节点执行恶意操作,从而导致系统完全失效。 为了避免这个漏洞对系统造成的影响,我们需要采取一系列措施来保护Zookeeper。首先,我们需要设置Zookeeper访问控制,通过用户名和密码来限制对节点的访问。其次,我们需要对节点进行加密,确保敏感信息不被泄露。最后,我们需要确保Zookeeper的软件版本是最新的,并且及时修补漏洞。 总之,Zookeeper授权访问漏洞是一个存在风险的漏洞,需要我们重视。我们需要采取多重措施来保护Zookeeper节点的安全,防止攻击者利用漏洞造成的损失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值