严重等级 - 高
发布时间 - 2024年05月08日
漏洞概述
默认安装配置完的zookeeper允许未授权访问,管理(lǐ)员未配置访问控制列表(ACL)。
技术细节
攻击者可(kě)以在默认开放的2181端口下通过执行envi命令获得大量敏感信息(系统名称、java环境)导致任意用(yòng)户可(kě)以在网络不受限的情况下进行未授权访问读取数据甚至杀死服務(wù)。
规避措施
修改zookeeper配置文(wén)件,提供软件升级包供用(yòng)户升级。
漏洞来源
外部上报