【漏洞通告】關(guān)于Apache ZooKeeper身份驗證繞過漏洞的預(yù)警通報(CVE-2024-51504)

安全通告

關(guān)于Apache ZooKeeper身份驗證繞過漏洞的預(yù)警通報

發(fā)布日期：2024-11-12

[2024]020號

漏洞描述

2024年11月12日監(jiān)測發(fā)現(xiàn)Apache ZooKeeper存在身份驗證繞過漏洞(CVE-2024-51504)，該漏洞是由于ZooKeeper Admin Server中使用的IPAuthenticationProvider配置不當(dāng)，導(dǎo)致使用了可被輕易偽造的HTTP請求頭（如X-Forwarded-For）來檢測客戶端IP地址，攻擊者可通過偽造請求頭中的IP地址來繞過身份驗證，進而實現(xiàn)未授權(quán)訪問管理服務(wù)器功能并任意執(zhí)行管理服務(wù)器命令（例如快照和恢復(fù)），從而可能導(dǎo)致信息泄露或服務(wù)可用性問題。

Apache ZooKeeper是一個分布式協(xié)調(diào)服務(wù)，主要用于管理大型分布式系統(tǒng)中的數(shù)據(jù)和狀態(tài)，它提供了高效的分布式鎖、配置管理、命名服務(wù)和集群管理功能，通過簡單的接口支持分布式應(yīng)用實現(xiàn)一致性和協(xié)調(diào)。ZooKeeper通常用于保障分布式應(yīng)用的高可用性和數(shù)據(jù)一致性，適用于如Hadoop、Kafka、HBase等系統(tǒng)，幫助協(xié)調(diào)各個節(jié)點的狀態(tài)和操作，避免沖突和數(shù)據(jù)不一致問題。

漏洞編號

CVE-2024-51504

漏洞危害

攻擊者利用這一漏洞可以通過偽造 X-Forwarded-For 頭中的 IP 地址來繞過身份驗證，通過 Admin Server 的校驗，從而獲得使用特權(quán)命令。

漏洞等級

高危
受影響版本

3.9.0 <= Apache ZooKeeper < 3.9.3

修復(fù)方案

將組件 org.apache.zookeeper:zookeeper 升級至 3.9.3 及以上版本。

將組件 zookeeper 升級至 3.9.3 及以上版本。

https://zookeeper.apache.org/releases.html

參考鏈接

https://nvd.nist.gov/vuln/detail/CVE-2024-51504

https://seclists.org/oss-sec/2024/q4/60

漏洞播報

【漏洞通告】關(guān)于Apache ZooKeeper身份驗證繞過漏洞的預(yù)警通報(CVE-2024-51504)

聯(lián)系我們：cert@chaosec.com