Zookeeper未授权访问漏洞

杭城我最帅2024-02-20 8:57

Zookeeper漏洞介绍

Zookeeper支持某些特定的四字查询命令,可以未授权访问,从而泄露zookeeper服务的相关信息,这些信息可能作为进一步入侵其他系统和服务的跳板,利用这些信息实现权限提升并逐渐扩大攻击范围。

常见的四字命令有 envi、conf、cons、crst、dump、ruok、stat、srvr、mntr

envi漏洞场景

漏洞修复

1.禁止2181端口暴露,开启防火墙或只允许本地访问

2.开启ACL认证 (acl认证没试过,但是sasl认证是无效的

只允许本地访问(以docker为例):

bash 复制代码 
docker run -d --name=zookeeper --network kafka-net -p 127.0.0.1:2181:2181  wurstmeister/zookeeper

其他应用要连接到zookeeper,比如kafka连接,使用

bash 复制代码 
-e KAFKA_ZOOKEEPER_CONNECT=zookeeper:2181
相关推荐
hanbarger28 分钟前
分布式通信,微服务协调组件,zookeeper
分布式·zookeeper·中间件
郭源潮3452 小时前
Hadoop
大数据·hadoop·分布式
Allen Bright3 小时前
RabbitMQ中的普通Confirm模式:深入解析与最佳实践
分布式·rabbitmq
李昊哲小课4 小时前
deepin 安装 kafka
大数据·分布式·zookeeper·数据分析·kafka
Kobebryant-Manba4 小时前
zookeeper+kafka的windows下安装
分布式·zookeeper·kafka
_oP_i11 小时前
Pinpoint 是一个开源的分布式追踪系统
java·分布式·开源
攻心的子乐13 小时前
Kafka可视化工具 Offset Explorer (以前叫Kafka Tool)
分布式·kafka
小林想被监督学习13 小时前
RabbitMQ 的7种工作模式
分布式·rabbitmq
初晴~15 小时前
【Redis分布式锁】高并发场景下秒杀业务的实现思路(集群模式)
java·数据库·redis·分布式·后端·spring·
有一个好名字15 小时前
zookeeper分布式锁模拟12306买票
分布式·zookeeper·云原生
热门推荐
0119个Web前端交互式3D JavaScript框架和库02ARM学习(31)编译器对overlay方式的支持03玄机平台应急响应—webshell查杀04RAG 实践- Ollama+RagFlow 部署本地知识库05【一文读懂】NTN(非地面网络)技术介绍06(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明07ZZ038 物联网应用与服务赛题第J套08组基轨迹建模 GBTM的介绍与实现(Stata 或 R)09Docker 夺命连环 15 问10VSCode插件 —— Cody AI (免费AI助手!)