Zookeeper未授权访问漏洞

Zookeeper漏洞介绍

Zookeeper支持某些特定的四字查询命令,可以未授权访问,从而泄露zookeeper服务的相关信息,这些信息可能作为进一步入侵其他系统和服务的跳板,利用这些信息实现权限提升并逐渐扩大攻击范围。

常见的四字命令有 envi、conf、cons、crst、dump、ruok、stat、srvr、mntr

envi漏洞场景

漏洞修复

1.禁止2181端口暴露,开启防火墙或只允许本地访问

2.开启ACL认证 (acl认证没试过,但是sasl认证是无效的

只允许本地访问(以docker为例):

bash 复制代码
docker run -d --name=zookeeper --network kafka-net -p 127.0.0.1:2181:2181  wurstmeister/zookeeper

其他应用要连接到zookeeper,比如kafka连接,使用

bash 复制代码
-e KAFKA_ZOOKEEPER_CONNECT=zookeeper:2181
相关推荐
勤奋的知更鸟25 分钟前
Kettle + 大数据实战:从数据采集到分布式处理的完整流程指南
大数据·分布式
Kookoos1 小时前
ABP VNext + Cosmos DB Change Feed:搭建实时数据变更流服务
数据库·分布式·后端·abp vnext·azure cosmos
Johny_Zhao7 小时前
Docker + CentOS 部署 Zookeeper 集群 + Kubernetes Operator 自动化运维方案
linux·网络安全·docker·信息安全·zookeeper·kubernetes·云计算·系统运维
掘金-我是哪吒14 小时前
分布式微服务系统架构第156集:JavaPlus技术文档平台日更-Java线程池使用指南
java·分布式·微服务·云原生·架构
亲爱的非洲野猪14 小时前
Kafka消息积压的多维度解决方案:超越简单扩容的完整策略
java·分布式·中间件·kafka
活跃家族14 小时前
分布式压测
分布式
前端世界16 小时前
HarmonyOS开发实战:鸿蒙分布式生态构建与多设备协同发布全流程详解
分布式·华为·harmonyos
DavidSoCool16 小时前
RabbitMQ使用topic Exchange实现微服务分组订阅
分布式·微服务·rabbitmq
掘金-我是哪吒18 小时前
分布式微服务系统架构第158集:JavaPlus技术文档平台日更-JVM基础知识
jvm·分布式·微服务·架构·系统架构
东窗西篱梦18 小时前
Redis集群部署指南:高可用与分布式实践
数据库·redis·分布式