一、概要
近日,基调听云关注到Apache ZooKeeper中,由于缺少 ACL(访问控制列表)检查,在处理持久性观察者(watchers)时存在信息泄露问题。攻击者通过向其已有访问权限的父节点附加一个持久性观察者(使用 addWatch 命令)来监视子节点。当持久性观察者被触发时,ZooKeeper 服务器不会进行ACL检查,观察者的拥有者可以获知触发观察事件的 znode 的完整路径。从而获取 znode 路径中可能包含的诸如用户名或登录 ID 等敏感信息。
参考链接:https://zookeeper.apache.org/security.html#CVE-2024-23944
二、威胁级别
威胁级别:【严重】
三、CVSS评分
暂无
四、漏洞影响范围
影响版本:3.9.0-3.9.1、3.8.0-3.8.3、3.6.0-3.7.2

安全版本:
3.9.2、3.8.4
五、漏洞排查及处置
目前,基调听云已发布新补丁修复了该漏洞,请受影响的用户联系相应的技术支持升级到安全版本。

  • 2021-09-03

    继续阅读
  • 2024-09-20

    继续阅读
  • 2021-12-20

    继续阅读
  • 2021-11-25

    继续阅读
  • 2024-09-20

    继续阅读