| 漏洞类型 | 未授权敏感信息泄露 | 发现时间 | 2024-03-15 | 漏洞等级 | 严重 |
| MPS编号 | MPS-kfgl-etid | CVE编号 | CVE-2024-23944 | 漏洞影响广度 | 一般 |
漏洞危害
| OSCS 描述 |
| Apache ZooKeeper是一个开源的分布式协调服务,persistent watchers 是对节点的监控机制。 受影响版本中,由于 addWatch 命令缺少 ACL 检查,未经身份验证的攻击者可利用通过 addWatch 命令将 persistent watchers 添加到攻击者已经访问的父节点来监视子 znodes,进而获取 znode 的路径信息(可能包含用户名或登录ID等敏感信息)。 参考链接:https://www.oscs1024.com/hd/MPS-kfgl-etid |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| org.apache.zookeeper:zookeeper [3.9.0, 3.9.2) | 升级 | 将 org.apache.zookeeper:zookeeper 升级至 3.9.2 及以上版本 |
| org.apache.zookeeper:zookeeper [3.6.0, 3.8.4) | 升级 | 将 org.apache.zookeeper:zookeeper 升级至 3.8.4 及以上版本 |
| org.apache.zookeeper:zookeeper-it [3.6.0, 3.8.4) | 升级 | 将 org.apache.zookeeper:zookeeper-it 升级至 3.8.4 及以上版本 |
| org.apache.zookeeper:zookeeper-it [3.9.0, 3.9.2) | 升级 | 将 org.apache.zookeeper:zookeeper-it 升级至 3.9.2 及以上版本 |
| 参考链接:https://www.oscs1024.com/hd/MPS-kfgl-etid | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-kfgl-etid
https://nvd.nist.gov/vuln/detail/CVE-2024-23944
https://issues.apache.org/jira/browse/ZOOKEEPER-4799
https://github.com/apache/zookeeper/commit/65b91d2d9a56157285c2a86b106e67c26520b01d
