【漏洞预警】Apache ZooKeeper身份验证不当漏洞

科技   2024-11-07 12:18   北京  

漏洞描述:

ApacheZooKeeper是开源的分布式应用程序协调服务,IPAuthenticationProvider是其身份验证提供器,用于基于客户端IP地址进行身份验证,受影响版本的ZooKeeperAdminServer使用IPAuthenticationProvider进行身份验证,由于其使用由代理服务器添加的HTTP请求头X-Forwarded-For,攻击者可通过伪造X-Forwarded-For头中的IP地址,通过Admin Server的校验,使用特权命令,修复版本中,通过通过引入 usexforwardedfor配置选项并将其默认设置为关闭,以修复漏洞。


修复建议:

正式防护方案:
截至目前,厂商已发布补丁修复漏洞,建议下载相关补丁尽快更新至安全版本。



安全版本:
Apache ZooKeeper >= 3.9.3

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。



参考链接:
https://zookeeper.apache.org/security.html



飓风网络安全
专注网络安全,成立于2014年;专注于研究安全服务,黑客技术、0day漏洞、红蓝对抗、威胁情报、应用安全、主机安全,提供服务器网站安全解决方案,数据库安全、服务器安全运维。
 最新文章