Zookeeper未授权访问漏洞_zk未授权访问漏洞

作者：2023面试高手 | 2024-05-24 12:09:45

踩

zk未授权访问漏洞

Zookeeper漏洞介绍

Zookeeper支持某些特定的四字查询命令，可以未授权访问，从而泄露zookeeper服务的相关信息，这些信息可能作为进一步入侵其他系统和服务的跳板，利用这些信息实现权限提升并逐渐扩大攻击范围。
常见的四字命令有 envi、conf、cons、crst、dump、ruok、stat、srvr、mntr

envi漏洞场景

在这里插入图片描述

漏洞修复

1.禁止2181端口暴露，开启防火墙或只允许本地访问
2.开启ACL认证（acl认证没试过，但是sasl认证是无效的）

只允许本地访问（以docker为例）：

docker run -d --name=zookeeper --network kafka-net -p 127.0.0.1:2181:2181  wurstmeister/zookeeper
1

其他应用要连接到zookeeper，比如kafka连接，使用

-e KAFKA_ZOOKEEPER_CONNECT=zookeeper:2181
1

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/2023面试高手/article/detail/617385