Zookeeper未授权漏洞修复方案

最新推荐文章于 2025-06-18 06:37:36 发布
最新推荐文章于 2025-06-18 06:37:36 发布
阅读量1.4k 收藏 4
点赞数 12
CC 4.0 BY-SA版权
分类专栏: 漏洞修复SOP 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AoiMukou01/article/details/146504194

1.漏洞简介

        1.1漏洞描述

ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。

ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。

        1.2影响范围

ZooKeeper全版本。

2.环境搭建

        2.1漏洞环境搭建

检查版本信息,zookeeper版本为3.4.14,属于漏洞覆盖范围内。

3.漏洞验证

        3.1.envi命令检测

使用envi命令发送一个请求,判断是否返回了enviroment。

echo envi|nc 192.168.230.129 2181

4.漏洞修复

        4.1修改zoo.cfg

在/zookeeper/config/zoo.cfg写入一条命令白名单规则。

重启服务。

./zkServer.sh stop

./zkServer.sh start

配置白名单后,未授权已无法利用。

        4.2ACL配置

./zkCli.sh查看acl

通过acl配置ip白名单为需要使用的ip。

5.漏洞复验

        5.1envi命令检测

使用envi命令发送一个请求,判断是否返回了enviroment。

echo envi|nc 192.168.230.129 2181

Zookeeper未授权访问漏洞修复
码农养家
09-18 1461
Zookeeper未授权访问漏洞修复
web渗透测试漏洞复现:ZooKeeper未授权漏洞复现
HACKONE的博客
03-30 1965
ZooKeeper 是一个分布式的、开源的协调服务,最初由雅虎开发,现隶属于 Apache 软件基金会,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件,旨在为大型分布式系统提供一致性的服务。ZooKeeper 的设计目的是简化分布式应用程序的开发和维护,它通过提供一组简单易用的原语和数据模型,为分布式系统中的进程提供协作服务。
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
修复zookeeper未授权访问漏洞
qq_28392947的博客
01-12 3579
【代码】修复zookeeper未授权访问漏洞
未授权访问漏洞复现及总结
最新发布
weixin_42659194的博客
06-18 53
常见的漏洞有FTP 未授权访问(21)、Rsync 未授权访问(873)、ZooKeeper 未授权访问(2181)、Docker 未授权访问(2375)、VNC 未授权访问(5900、5901)、Redis 未授权访问(6379)、JBoss 未授权访问(8080)、Jenkins 未授权访问(8080)、HadoopYARN 未授权访问(8088)、MongoDB 未授权访问(27017)等。在应急响应未授权访问漏洞事件时,“快速隔离、详尽取证、彻底根除、持续监控” 是核心原则。
zookeeper未授权访问漏洞修复
weixin_43966996的博客
05-08 5854
zookeeper进行服务ACL限制访问。
Kafka集群之-ZooKeeper未授权访问漏洞修复
IT技术学习与工作笔记分享
07-01 3161
配置 ZooKeeper 的配置文件,修改 文件,添加以下内容: 二、创建 JAAS 文件 在 ZooKeeper 的安装目录下的 目录中创建 文件,并编辑内容如下: 的含义是 ,添加一个用户名为 ,密码为 的认证用户,用户名和密码可以自行定义。因为如果要连接 ZooKeeper 是需要通过 SASL 认证的,所以需要配置环境变量,这里的环境变量主要是使用 文件中的 配置,会在连接时使用用户名和密码。 四、重启 ZooKeeper 服务 重启 ZooKeeper 服务,正常启动一般便无问题。
zookeeper未授权访问(CVE-2014-0085)漏洞修复建议
THZLYXX的博客
01-24 5607
xxxx为需要设置的四字命令,添加多命令请使用逗号进行隔开,请根据系统所需进行命令设置,请勿添加envi命令,如系统有使用此命令的需求请使用其他修复方法。1.进入zookeeper目录找到zoo.cfg文件,常见路径为/opt/zookeeper-3.4.13/conf/zoo.cfg。2.使用下面命令登录zookeeper命令中ip为容器ip如果直接安装在服务器上请使用服务器ip。2.使用vi编辑器打开zoo.cfg文件,在文件中添加四字命令白名单,添加命令如下。:访问(Access)
ZooKeeper 未授权访问漏洞处理方法
08-31
ZooKeeper 未授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
zookeeper安全漏洞修复
01-17
ZooKeeper 未授权访问【原理扫描】,zookeeper安全漏洞修复方法和操作步骤
HDP Zookeeper未授权漏洞修复指南
小蜗牛的珍贵百宝箱
01-15 788
然而,如果Zookeeper没有进行恰当的授权和访问控制配置,它可能会暴露未授权访问的风险,成为攻击者的目标。Zookeeper未授权漏洞修复不仅仅是配置认证,还包括加强访问控制和加密,确保Zookeeper集群的安全性。为了进一步增强安全性,建议启用TLS/SSL加密,以确保Zookeeper的数据传输是加密的,从而防止数据泄露和中间人攻击。为了确保Zookeeper安全性,应定期审计Zookeeper的访问日志,查看是否有未经授权的访问或潜在的安全风险。命令为Zookeeper的节点设置ACL。
zookeeper未授权访问修复建议
07-14
zookeeper未授权访问修复建议
【HDP】zookeeper未授权漏洞修复
康师傅没有眼泪
09-27 6484
ruok命令的输出仅仅只能表明当前服务器是否在运行,准确的说是2181端口打开着,同时四字命令执行流程正常,但不能代表ZooKeeper服务器是否运行正常。wchp命令和wchc命令非常类似,也是用于输出当前服务器上管理的Watcher的详细信息,不同点在于wchp命令的输出信息以节点路径为单位进行归组。srvr命令和stat命令的功能一致,唯一的区别的是srvr不会将客户端的连接情况输出,仅仅输出服务器自身的信息。srst是一个功能性的命令,用于重置所有服务器的统计信息。
ZooKeeper未授权访问漏洞确认与修复
sdujava2011
02-27 4183
Zookeeper未授权访问漏洞确认与修复
Linux-ZooKeeper未授权访问漏洞修复方案
weixin_44281516的博客
04-27 2713
直接访问url https://blog.csdn.net/baidu_39459954/article/details/90748332
zookeeper未授权访问漏洞处理
热门推荐
weixin_50016127的博客
06-27 1万+
zookeeper未授权访问漏洞处理
Zookeeper未授权访问的漏洞处理
Jeuneke的博客
08-28 2038
这个命令可以用于获取Zookeepr(下面有zk代替)目标服务器的环境信息、部署路径、版本等敏感信息。如果这些信息被恶意利用,确实可能导致安全漏洞,进而对网络和服务器安全构成威胁。设置权限后,不同的IP服务器还是能访问到,zookeeper相应的路径,版本,还是有安全隐患.1.执行zkCli.sh 命令后,查看zk的当前权限。配置防火墙策略,只允许指定IP访问2181端口。anyone任何人可以访问。
漏洞扫描,zookeeper未授权访问漏洞复现及修复
ChaoandPeng的博客
06-29 7324
ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。0x00 ZooKeeper 安装: Zookeeper的默认开放端口是2181wget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.4.10/zookeeper-3.4.10.tar.gztar -zxvf zookeepre-3.4.10.tar.gz cd zooke
存在 ZooKeeper 未授权访问【原理扫描】--通过防火墙策略进行修复
qyq88888的专栏
06-06 1025
ELK集群存在 ZooKeeper 未授权访问【原理扫描】
zookeeper未授权漏洞修复
09-20
未授权访问是ZooKeeper的一个安全漏洞,可以通过以下方法修复漏洞: 1. 修复办法一(推荐):在ZooKeeper配置文件中启用ACL(访问控制列表),并配置正确的权限。ACL可以控制谁可以访问ZooKeeper节点和执行哪些操作。配置ACL后,只有经过授权的用户才能访问ZooKeeper节点。 2. 修复办法二:使用ZooKeeper提供的命令行工具或API,在ZooKeeper中为节点设置ACL。可以为节点设置不同级别的权限,例如只读、读写等。 3. 修复办法三(需要改程序):在ZooKeeper客户端代码中添加认证信息,以确保连接到ZooKeeper服务器时进行身份验证。可以使用用户名和密码进行认证,或者使用其他认证机制如Kerberos。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BugAlice01

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值