Apache ZooKeeper 是一种广泛使用的集中式服务,用于管理分布式应用程序的配置和同步: CVE-2024-51504。该漏洞被评为 “重要 ”严重性问题,它使 ZooKeeper 管理服务器面临通过 IP 欺骗绕过验证的风险。
该漏洞存在于 ZooKeeper 基于 IP 的身份验证机制中,它利用了管理服务器中的 IPAuthenticationProvider。由于 IP 地址检测的默认配置较弱,攻击者可以通过欺骗客户端的 IP 地址绕过验证。Apache 的公告称,“默认配置会通过 X-Forwarded-For HTTP 头来读取客户端的 IP 地址”。不幸的是,这个头很容易被篡改,因为 “X-Forwarded-For 请求头主要被代理服务器用来识别客户端,很容易被攻击者欺骗”。
一旦被成功利用,攻击者就可以在未经授权的情况下访问关键的 Admin Server 命令,包括快照和还原操作。这些命令允许与服务器的配置和备份过程直接交互,可能导致信息泄漏和服务可用性问题。
一旦被利用,该漏洞将对ZooKeeper的完整性构成重大风险,尤其是对于依赖ZooKeeper在分布式应用程序中提供关键配置和组服务的企业而言。该公告警告说:”管理员服务器命令(如快照和还原)可在成功利用后被任意执行。
安全研究人员 4ra1n 和 Y4tacker 发现并报告了 CVE-2024-51504。
Apache ZooKeeper 团队敦促用户更新至 3.9.3 版本,该版本提供了解决该漏洞的基本修复。该更新版本包括更强的身份验证检查,通过加强客户端身份验证降低了 IP 欺骗攻击的风险。鉴于缺乏有效的解决方法,建议使用易受攻击版本的任何组织立即升级。
发表评论
您还未登录,请先登录。
登录