区域/语言
安全通告-FitDEM存在zookeeper未授权访问漏洞

严重等级 - 高

发布时间 - 2024年05月08日

漏洞概述

默认安装配置完的zookeeper允许未授权访问,管理员未配置访问控制列表(ACL)。

技术细节

攻击者可以在默认开放的2181端口下通过执行envi命令获得大量敏感信息(系统名称、java环境)导致任意用户可以在网络不受限的情况下进行未授权访问读取数据甚至杀死服务。

规避措施

修改zookeeper配置文件,提供软件升级包供用户升级。

漏洞来源

外部上报