Zookeeper 未授權訪問漏洞是怎么回事

Zookeeper 未授權訪問漏洞是怎么回事？

安全小白成長記 ₂ 信息安全等級高級測評師 CISP-PTE

安全小白成長記₂ 2年前 信息安全等級高級測評師 CISP-PTE

ZooKeeper是?個開放源碼的分布式應?程序協調服務，默認開放端?是2181，提供的功能包括:配置維護、名字服務、分布式同步、組服務等。
Zookeeper默認是未授權就可以訪問，特別對于公?開放的Zookeeper來說，可以導致信息泄露或者對Zookeeper集群進?破壞。
攻擊者能夠執?所有只允許由管理員運?的命令
安全建議:
1，禁?把Zookeeper直接暴露在公?
2，添加訪問控制，根據情況選擇對應?式（認證??，??名密碼，指定IP）

2年前