Apache ZooKeeper Admin Server 身份验证绕过漏洞
时间:2024-11-15 11:53 来源:未知 作者:IT
漏洞描述
Apache ZooKeeper 是开源的分布式应用程序协调服务,IPAuthenticationProvider 是其身份验证提供器,用于基于客户端 IP 地址进行身份验证。
受影响版本的 ZooKeeper Admin Server 使用 IPAuthenticationProvider 进行身份验证,由于其使用由代理服务器添加的 HTTP 请求头 X-Forwarded-For,攻击者可通过伪造 X-Forwarded-For 头中的 IP 地址,通过 Admin Server 的校验,使用特权命令。
修复版本中,通过通过引入 usexforwardedfor 配置选项并将其默认设置为关闭,以修复漏洞。
漏洞类型
使用欺骗进行的认证绕过
发现时间
2024-11-07
漏洞影响广度
-
MPS 编号
MPS-aqz5-s9mr
CVE 编号
CVE-2024-51504
CNVD 编号
-
漏洞名称
Apache ZooKeeper Admin Server 身份验证绕过漏洞
影响范围
org.apache.zookeeper:zookeeper@[3.9.0, 3.9.3)
zookeeper@[3.9.0, 3.9.3)
修复方案
将组件 org.apache.zookeeper:zookeeper 升级至 3.9.3 及以上版本
将组件 zookeeper 升级至 3.9.3 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-aqz5-s9mr
https://www.mail-archive.com/announce@apache.org/msg09610.html
https://www.openwall.com/lists/oss-security/2024/11/06/4
https://issues.apache.org/jira/browse/ZOOKEEPER-4851
https://github.com/apache/zookeeper/commit/67037ad9087b4e554f77427e88d40df1eb19d6d3
https://github.com/apache/zookeeper/commit/bd5be58c562ce992de8af43cdef0bdb34261a525
(责任编辑:IT)
漏洞描述Apache ZooKeeper 是开源的分布式应用程序协调服务,IPAuthenticationProvider 是其身份验证提供器,用于基于客户端 IP 地址进行身份验证。 受影响版本的 ZooKeeper Admin Server 使用 IPAuthenticationProvider 进行身份验证,由于其使用由代理服务器添加的 HTTP 请求头 X-Forwarded-For,攻击者可通过伪造 X-Forwarded-For 头中的 IP 地址,通过 Admin Server 的校验,使用特权命令。 修复版本中,通过通过引入 usexforwardedfor 配置选项并将其默认设置为关闭,以修复漏洞。
影响范围org.apache.zookeeper:zookeeper@[3.9.0, 3.9.3) zookeeper@[3.9.0, 3.9.3) 修复方案将组件 org.apache.zookeeper:zookeeper 升级至 3.9.3 及以上版本 将组件 zookeeper 升级至 3.9.3 及以上版本 参考链接https://www.oscs1024.com/hd/MPS-aqz5-s9mr https://www.mail-archive.com/announce@apache.org/msg09610.html https://www.openwall.com/lists/oss-security/2024/11/06/4 https://issues.apache.org/jira/browse/ZOOKEEPER-4851 https://github.com/apache/zookeeper/commit/67037ad9087b4e554f77427e88d40df1eb19d6d3 https://github.com/apache/zookeeper/commit/bd5be58c562ce992de8af43cdef0bdb34261a525 (责任编辑:IT) |