漏洞描述:
ApacheZooKeeper是开源的分布式应用程序协调服务,IPAuthenticationProvider是其身份验证提供器,用于基于客户端IP地址进行身份验证,受影响版本的ZooKeeperAdminServer使用IPAuthenticationProvider进行身份验证,由于其使用由代理服务器添加的HTTP请求头X-Forwarded-For,攻击者可通过伪造X-Forwarded-For头中的IP地址,通过Admin Server的校验,使用特权命令,修复版本中,通过通过引入 usexforwardedfor配置选项并将其默认设置为关闭,以修复漏洞。
修复建议:
正式防护方案:
截至目前,厂商已发布补丁修复漏洞,建议下载相关补丁尽快更新至安全版本。
安全版本:
Apache ZooKeeper >= 3.9.3
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
参考链接:
https://zookeeper.apache.org/security.html