Zookeeper未授权访问漏洞

  • 开发
  • 27

Zookeeper漏洞介绍

Zookeeper支持某些特定的四字查询命令,可以未授权访问,从而泄露zookeeper服务的相关信息,这些信息可能作为进一步入侵其他系统和服务的跳板,利用这些信息实现权限提升并逐渐扩大攻击范围。
常见的四字命令有 envi、conf、cons、crst、dump、ruok、stat、srvr、mntr

envi漏洞场景

在这里插入图片描述

漏洞修复

1.禁止2181端口暴露,开启防火墙或只允许本地访问
2.开启ACL认证 (acl认证没试过,但是sasl认证是无效的

只允许本地访问(以docker为例):

docker run -d --name=zookeeper --network kafka-net -p 127.0.0.1:2181:2181  wurstmeister/zookeeper

其他应用要连接到zookeeper,比如kafka连接,使用

-e KAFKA_ZOOKEEPER_CONNECT=zookeeper:2181
阅读全部

相关推荐

  2. 修复zookeeper授权访问漏洞

    2024-02-20 07:54:06       37 阅读

  7. Docker授权访问漏洞

    2024-02-20 07:54:06       20 阅读

最近更新

  4. TCP协议是安全的吗?

    2024-02-20 07:54:06       18 阅读

  12. 阿里云服务器执行yum,一直下载docker-ce-stable失败

    2024-02-20 07:54:06       19 阅读

  13. 【Python教程】压缩PDF文件大小

    2024-02-20 07:54:06       18 阅读

  18. 通过文章id递归查询所有评论(xml)

    2024-02-20 07:54:06       20 阅读

热门阅读

  2. uniapp 面试题

    2024-02-20 07:54:06       30 阅读

  6. centos7编译c++碰到的坑

    2024-02-20 07:54:06       29 阅读

  8. MySQL学习记录——십삼 视图及用户、权限管理

    2024-02-20 07:54:06       28 阅读

  10. 【0259】inval.h/inval.c的理解

    2024-02-20 07:54:06       30 阅读

  13. HBase API

    2024-02-20 07:54:06       30 阅读

  14. 【React】使用lodash的debounce未生效

    2024-02-20 07:54:06       37 阅读

  18. ansible inventory 主机清单

    2024-02-20 07:54:06       31 阅读

  19. mac电脑 安装 ios开发工具xcode步骤 以及新建ios项目

    2024-02-20 07:54:06       34 阅读

  20. Docker Compose 配置环境变量

    2024-02-20 07:54:06       26 阅读

  22. git checkout 某个分支后如何回退到执行之前的分支

    2024-02-20 07:54:06       26 阅读

  25. 课时39:表达式_运算符_简单计算

    2024-02-20 07:54:06       22 阅读

  26. 2024前端面试准备之uniapp篇

    2024-02-20 07:54:06       32 阅读

  28. C/C++ BM9 删除链表的倒数第n个节点

    2024-02-20 07:54:06       32 阅读

  29. HarmonyOS(十九)——初识应用拥有的四种状态管理

    2024-02-20 07:54:06       34 阅读