[2021]Zookeeper getAcl命令未授权访问漏洞概述与解决

最新推荐文章于 2025-05-08 17:59:47 发布
最新推荐文章于 2025-05-08 17:59:47 发布
阅读量3.5k 收藏 12
点赞数 6
分类专栏: 大数据运维和开发 # 大数据集群 文章标签: zookeeper java hadoop 分布式 安全漏洞
版权所有:(谁都没有)
本文链接:https://blog.youkuaiyun.com/qq_44491709/article/details/115707231
版权

今天在漏洞扫描的时候蹦出来一个zookeeper的漏洞问题,即使是非zookeeper的节点,或者是非集群内部节点,也可以通过nc扫描2181端口,获取极多的zk信息。关于漏洞的详细描述参考apache zookeeper官方概述:CVE-2018-8012: Apache ZooKeeper Quorum Peer mutual authentication

漏洞演示:

这是一个CDP集群,里面有三个物理节点,每个节点各自有一个zk实例,注意看IP。
zk集群
另开一台非集群节点的连接,使用echo conf | nc 10.168.1.28 2181 命令:
other
可以看到非常多的配置和集群信息,除了conf,还有ruok、stat等命令:
ruok

如此多敏感信息暴露在互联网上肯定是很不安全的,解决方式主要有四种:修改默认端口(简单易实现)、配置zookeeper认证用户或修改权限、打补丁(不推荐ÿ

最低0.47元/天 解锁文章
zookeeper未授权访问漏洞修复
weixin_43966996的博客
05-08 5075
zookeeper进行服务ACL限制访问
未授权访问ZooKeeper 未授权访问漏洞
qq_68163788的博客
05-15 4574
zookeeper分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。 Zookeeper的默认开放端口是2181。 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令
ZooKeeper 未授权访问漏洞处理方法
08-31
ZooKeeper 未授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
Redis漏洞分析,ACL篇
最新发布
2503_90751938的博客
05-08 639
Redis是一个开源的高性能内存数据库,并且开启了安全策略,针对8.0.x\7.4.x、7.2.x和6.2.x及以上版本的Redis漏洞进行公开披露[1]。《Redis漏洞分析》对其中的Moderate、High级别漏洞进行分析,同时根据Redis的攻击面进行分篇,本篇是ACL篇。
Zookeeper未授权访问漏洞
weixin_53736204的博客
08-04 856
Zookeeper分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。Zookeeper的默认开放端口是 2181。Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:ki命令)。攻击者能够执行所有只允许由管理员运行的命令
修复zookeeper未授权访问漏洞
qq_28392947的博客
01-12 3471
【代码】修复zookeeper未授权访问漏洞
ZooKeeper节点的ACL权限控制详解
## 1.1 ZooKeeper概述 ZooKeeper是一个分布式协调服务,提供高性能、高可用、有序访问等特性。它被广泛应用于分布式系统中,用于统一命名服务、配置管理、集群管理等场景。 ## 1.2 ZooKeeper节点及数据模型介绍 ...
ZooKeeper源码剖析:ACL权限控制机制详解
ZooKeeper简介基本原理 ## 1.1 ZooKeeper简介 ZooKeeper是一个开源的分布式协调服务,提供了一个高度可靠的分布式数据管理和协调解决方案。它主要用于分布式系统中的数据同步、配置管理、命名服务、集群管理等...
Zookeeper未授权访问漏洞处理
Jeuneke的博客
08-28 1956
这个命令可以用于获取Zookeepr(下面有zk代替)目标服务器的环境信息、部署路径、版本等敏感信息。如果这些信息被恶意利用,确实可能导致安全漏洞,进而对网络和服务器安全构成威胁。设置权限后,不同的IP服务器还是能访问到,zookeeper相应的路径,版本,还是有安全隐患.1.执行zkCli.sh 命令后,查看zk的当前权限。配置防火墙策略,只允许指定IP访问2181端口。anyone任何人可以访问
Kafka集群之-ZooKeeper未授权访问漏洞修复
weixin_39863120的博客
07-01 2877
配置 ZooKeeper 的配置文件,修改 文件,添加以下内容: 二、创建 JAAS 文件 在 ZooKeeper 的安装目录下的 目录中创建 文件,并编辑内容如下: 的含义是 ,添加一个用户名为 ,密码为 的认证用户,用户名和密码可以自行定义。因为如果要连接 ZooKeeper 是需要通过 SASL 认证的,所以需要配置环境变量,这里的环境变量主要是使用 文件中的 配置,会在连接时使用用户名和密码。 四、重启 ZooKeeper 服务 重启 ZooKeeper 服务,正常启动一般便无问题。
zookeeper未授权访问漏洞处理
热门推荐
weixin_50016127的博客
06-27 1万+
zookeeper未授权访问漏洞处理
ZooKeeper未授权访问漏洞确认修复
sdujava2011
02-27 4104
Zookeeper未授权访问漏洞确认修复
ZooKeeper 未授权访问漏洞
0nc3的博客
12-16 1827
0x00 漏洞简介 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值