1
Apache ZooKeeper 是开源的分布式应用程序协调服务,IPAuthenticationProvider 是其身份验证提供器,用于基于客户端 IP 地址进行身份验证。
受影响版本的 ZooKeeper Admin Server 使用 IPAuthenticationProvider 进行身份验证,由于其使用由代理服务器添加的 HTTP 请求头 X-Forwarded-For,攻击者可通过伪造 X-Forwarded-For 头中的 IP 地址,通过 Admin Server 的校验,使用特权命令。
修复版本中,通过通过引入 usexforwardedfor 配置选项并将其默认设置为关闭,以修复漏洞。
2
org.apache.zookeeper:zookeeper 生态:maven
仓库类型 maven 受影响的版本[3.9.0, 3.9.3)最小修复版本 3.9.3
zookeeper 生态:linux
仓库类型 unmanaged 受影响的版本[3.9.0, 3.9.3)最小修复版本 3.9.3
3
目前该漏洞已经修复,受影响用户可升级到以下版本:Apache ZooKeeper >= 3.9.3
下载链接:https://zookeeper.apache.org/releases.html
