安全通告
关于Apache ZooKeeper身份验证绕过漏洞的预警通报
发布日期:2024-11-12
[2024]020号
漏洞描述
2024年11月12日监测发现Apache ZooKeeper存在身份验证绕过漏洞(CVE-2024-51504),该漏洞是由于ZooKeeper Admin Server中使用的IPAuthenticationProvider配置不当,导致使用了可被轻易伪造的HTTP请求头(如X-Forwarded-For)来检测客户端IP地址,攻击者可通过伪造请求头中的IP地址来绕过身份验证,进而实现未授权访问管理服务器功能并任意执行管理服务器命令(例如快照和恢复),从而可能导致信息泄露或服务可用性问题。
Apache ZooKeeper是一个分布式协调服务,主要用于管理大型分布式系统中的数据和状态,它提供了高效的分布式锁、配置管理、命名服务和集群管理功能,通过简单的接口支持分布式应用实现一致性和协调。ZooKeeper通常用于保障分布式应用的高可用性和数据一致性,适用于如Hadoop、Kafka、HBase等系统,帮助协调各个节点的状态和操作,避免冲突和数据不一致问题。
漏洞编号
CVE-2024-51504
漏洞危害
攻击者利用这一漏洞可以通过伪造 X-Forwarded-For 头中的 IP 地址来绕过身份验证,通过 Admin Server 的校验,从而获得使用特权命令。
漏洞等级
高危
受影响版本
3.9.0 <= Apache ZooKeeper < 3.9.3
修复方案
将组件 org.apache.zookeeper:zookeeper 升级至 3.9.3 及以上版本。
将组件 zookeeper 升级至 3.9.3 及以上版本。
https://zookeeper.apache.org/releases.html
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2024-51504
https://seclists.org/oss-sec/2024/q4/60