【漏洞通告】关于Apache ZooKeeper身份验证绕过漏洞的预警通报(CVE-2024-51504)

安全通告

关于Apache ZooKeeper身份验证绕过漏洞的预警通报

发布日期:2024-11-12

[2024]020

漏洞描述

2024年11月12日监测发现Apache ZooKeeper存在身份验证绕过漏洞(CVE-2024-51504),该漏洞是由于ZooKeeper Admin Server中使用的IPAuthenticationProvider配置不当,导致使用了可被轻易伪造的HTTP请求头(如X-Forwarded-For)来检测客户端IP地址,攻击者可通过伪造请求头中的IP地址来绕过身份验证,进而实现未授权访问管理服务器功能并任意执行管理服务器命令(例如快照和恢复),从而可能导致信息泄露或服务可用性问题。

Apache ZooKeeper是一个分布式协调服务,主要用于管理大型分布式系统中的数据和状态,它提供了高效的分布式锁、配置管理、命名服务和集群管理功能,通过简单的接口支持分布式应用实现一致性和协调。ZooKeeper通常用于保障分布式应用的高可用性和数据一致性,适用于如Hadoop、Kafka、HBase等系统,帮助协调各个节点的状态和操作,避免冲突和数据不一致问题。

漏洞编号

CVE-2024-51504

漏洞危害

攻击者利用这一漏洞可以通过伪造 X-Forwarded-For 头中的 IP 地址来绕过身份验证,通过 Admin Server 的校验,从而获得使用特权命令。

漏洞等级

高危
受影响版本

3.9.0 <= Apache ZooKeeper < 3.9.3

修复方案

将组件 org.apache.zookeeper:zookeeper 升级至 3.9.3 及以上版本。

将组件 zookeeper 升级至 3.9.3 及以上版本。

https://zookeeper.apache.org/releases.html

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2024-51504

https://seclists.org/oss-sec/2024/q4/60