Zookeeper漏洞介绍

Zookeeper支持某些特定的四字查询命令,可以未授权访问,从而泄露zookeeper服务的相关信息,这些信息可能作为进一步入侵其他系统和服务的跳板,利用这些信息实现权限提升并逐渐扩大攻击范围。
常见的四字命令有 envi、conf、cons、crst、dump、ruok、stat、srvr、mntr

envi漏洞场景

在这里插入图片描述

漏洞修复

1.禁止2181端口暴露,开启防火墙或只允许本地访问
2.开启ACL认证 (acl认证没试过,但是sasl认证是无效的

只允许本地访问(以docker为例):

docker run -d --name=zookeeper --network kafka-net -p 127.0.0.1:2181:2181  wurstmeister/zookeeper

其他应用要连接到zookeeper,比如kafka连接,使用

-e KAFKA_ZOOKEEPER_CONNECT=zookeeper:2181
# zookeeper # 分布式
Logo
云原生开发者技术专区邀请您加入

一起探索未来云端世界的核心,云原生技术专区带您领略创新、高效和可扩展的云计算解决方案,引领您在数字化时代的成功之路。

更多推荐

cover

ChatGPT的Mac客户端正式发布了!Mac用户有福了

avatar 云原生技术专区
cover

微信公众号写作时必备的AI提示词(也称为指令或Prompt)

avatar 云原生技术专区
cover

猫头虎 最新 Linux 系统查看服务器温度的方法大全

avatar 云原生技术专区