安全动态

行业动态

漏洞动态

联系方式

地址: 广州市越秀区东风东路750号广联大厦13楼1307-1309室
电话:18898400087

Apache ZooKeeper Admin Server IPAuthenticationProvider 认证绕过漏洞

  • 漏洞编号:CVE-2024-51504
  • 漏洞类型:权限失控(越权)
  • 漏洞等级:高危
  • 发布时间:2024-11-07

              

漏洞描述:

Apache ZooKeeper是一个开源的分布式协调服务,它用于维护配置信息、命名、提供分布式同步以及提供组服务。AdminServer是其中一个特性,提供了HTTP接口来供用户通过API访问ZooKeeper的相关命令。2024年11月,官方披露其在使用 IPAuthenticationProvider 时使用IP白名单进行认证的情况下,攻击者可伪造X-Forwarded-For头绕过相关验证。

 

影响版本:

 
3.9.0 <= Apache Zookeeper < 3.9.3

 

修复建议

官方已发布新版本中修复上述漏洞,受影响用户请尽快升级到安全版本。
漏洞修复版本:
Apache Zookeeper 3.9.3


参考链接:
https://lists.apache.org/thread/b3qrmpkto5r6989qr61fw9y2x646kqlh

 

版权所有 © 2021 广州网安信息技术有限公司

粤ICP备2021096656号粤公网安备 44010402002568号