Apache ZooKeeper persistent watchers敏感信息泄露漏洞 (CVE-2024-23944)

漏洞类型 未授权敏感信息泄露 发现时间 2024-03-15 漏洞等级 严重
MPS编号 MPS-kfgl-etid CVE编号 CVE-2024-23944 漏洞影响广度 一般

漏洞危害

OSCS 描述
Apache ZooKeeper是一个开源的分布式协调服务,persistent watchers 是对节点的监控机制。
受影响版本中,由于 addWatch 命令缺少 ACL 检查,未经身份验证的攻击者可利用通过 addWatch 命令将 persistent watchers 添加到攻击者已经访问的父节点来监视子 znodes,进而获取 znode 的路径信息(可能包含用户名或登录ID等敏感信息)。
参考链接:https://www.oscs1024.com/hd/MPS-kfgl-etid

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.zookeeper:zookeeper [3.9.0, 3.9.2) 升级 将 org.apache.zookeeper:zookeeper 升级至 3.9.2 及以上版本
org.apache.zookeeper:zookeeper [3.6.0, 3.8.4) 升级 将 org.apache.zookeeper:zookeeper 升级至 3.8.4 及以上版本
org.apache.zookeeper:zookeeper-it [3.6.0, 3.8.4) 升级 将 org.apache.zookeeper:zookeeper-it 升级至 3.8.4 及以上版本
org.apache.zookeeper:zookeeper-it [3.9.0, 3.9.2) 升级 将 org.apache.zookeeper:zookeeper-it 升级至 3.9.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-kfgl-etid

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-kfgl-etid

https://nvd.nist.gov/vuln/detail/CVE-2024-23944

https://issues.apache.org/jira/browse/ZOOKEEPER-4799

https://github.com/apache/zookeeper/commit/65b91d2d9a56157285c2a86b106e67c26520b01d

(0)
上一篇 2024年3月16日 下午2:00
下一篇 2024年3月19日 下午8:00

相关推荐

  • Apache Airflow Drill Provider < 2.4.3 存在任意文件读取漏洞 (CVE-2023-39553)

    漏洞类型 输入验证不恰当 发现时间 2023/8/11 漏洞等级 中危 MPS编号 MPS-bv31-4lqj CVE编号 CVE-2023-39553 漏洞影响广度 – 漏洞危害 OSCS 描述 Apache Airflow Drill Provider 是 Apache Airflow 项目中的一个模块,用于提供与 Apache Drill …

    2023年9月1日
    0
  • sentry/nextjs <7.77.0 SSRF漏洞 (CVE-2023-46729)

    漏洞类型 SSRF 发现时间 2023-11-10 漏洞等级 严重 MPS编号 MPS-eg1f-zcy9 CVE编号 CVE-2023-46729 漏洞影响广度 一般 漏洞危害 OSCS 描述 Sentry是一个开源的实时事件日志监控、记录和聚合平台,Sentry Next.js 是 JavaScript 官方 Sentry SDK 由于没有使用正确的正则…

    2023年11月10日
    0
  • Spring Cloud Contract 信息泄漏漏洞 (CVE-2024-22236)

    漏洞类型 未授权敏感信息泄露 发现时间 2024-01-31 漏洞等级 低危 MPS编号 MPS-nlih-a72m CVE编号 CVE-2024-22236 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Cloud Contract 是提供一种声明式的方式来创建HTTP和消息驱动的微服务应用之间的契约。 由于 Spring Cloud Cont…

    2024年1月31日
    0
  • Apache ServiceComb Service-Center SSRF漏洞 (CVE-2023-44313)

    漏洞类型 SSRF 发现时间 2024-01-31 漏洞等级 高危 MPS编号 MPS-j4lu-7ikw CVE编号 CVE-2023-44313 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache ServiceComb Service-Center是Apache基金会的 一个基于 Restful 的服务注册中心,提供微服务发现和微服务管理。 在…

    2024年2月1日
    0
  • Apache inlong JDBC URL反序列化漏洞(\t绕过) (CVE-2023-46227)

    漏洞类型 输入验证不恰当 发现时间 2023-10-19 漏洞等级 高危 MPS编号 MPS-xsb3-r8jf CVE编号 CVE-2023-46227 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache InLong 是开源的高性能数据集成框架,方便业务构建基于流式的数据分析、建模和应用。 受影响版本中,由于只对用户输入的 jdbc url 参数…

    2023年10月20日
    0