Apache ZooKeeper persistent watchers敏感信息泄露漏洞 (CVE-2024-23944)

漏洞类型 未授权敏感信息泄露 发现时间 2024-03-15 漏洞等级 严重
MPS编号 MPS-kfgl-etid CVE编号 CVE-2024-23944 漏洞影响广度 一般

漏洞危害

OSCS 描述
Apache ZooKeeper是一个开源的分布式协调服务,persistent watchers 是对节点的监控机制。
受影响版本中,由于 addWatch 命令缺少 ACL 检查,未经身份验证的攻击者可利用通过 addWatch 命令将 persistent watchers 添加到攻击者已经访问的父节点来监视子 znodes,进而获取 znode 的路径信息(可能包含用户名或登录ID等敏感信息)。
参考链接:https://www.oscs1024.com/hd/MPS-kfgl-etid

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.zookeeper:zookeeper [3.9.0, 3.9.2) 升级 将 org.apache.zookeeper:zookeeper 升级至 3.9.2 及以上版本
org.apache.zookeeper:zookeeper [3.6.0, 3.8.4) 升级 将 org.apache.zookeeper:zookeeper 升级至 3.8.4 及以上版本
org.apache.zookeeper:zookeeper-it [3.6.0, 3.8.4) 升级 将 org.apache.zookeeper:zookeeper-it 升级至 3.8.4 及以上版本
org.apache.zookeeper:zookeeper-it [3.9.0, 3.9.2) 升级 将 org.apache.zookeeper:zookeeper-it 升级至 3.9.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-kfgl-etid

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-kfgl-etid

https://nvd.nist.gov/vuln/detail/CVE-2024-23944

https://issues.apache.org/jira/browse/ZOOKEEPER-4799

https://github.com/apache/zookeeper/commit/65b91d2d9a56157285c2a86b106e67c26520b01d

(0)
上一篇 2024年3月16日 下午2:00
下一篇 2024年3月19日 下午8:00

相关推荐

  • Atlassian Confluence Data Center/Server 身份验证不当漏洞 (CVE-2023-22518)

    漏洞类型 授权机制不恰当 发现时间 2023-10-31 漏洞等级 严重 MPS编号 MPS-2023-0019 CVE编号 CVE-2023-22518 漏洞影响广度 一般 漏洞危害 OSCS 描述 Confluence 是由 Atlassian 开发的知识管理与协同软件,旨在帮助团队协作、共享信息和创建文档。 Confluence Data Center…

    2023年11月1日
    0
  • FFmpeg < n7.0 堆溢出漏洞 (CVE-2023-51794)

    漏洞类型 堆缓冲区溢出 发现时间 2024-04-28 漏洞等级 高危 MPS编号 MPS-akej-cx6f CVE编号 CVE-2023-51794 漏洞影响广度 一般 漏洞危害 OSCS 描述 FFmpeg 是开源的多媒体框架,支持音频和视频的录制、转换以及流处理,stereowiden filter是其中的音频过滤器,用于增强立体声音轨的空间感。 受…

    漏洞 2024年4月29日
    0
  • Node.js child_process.spawn Windows命令注入漏洞 (CVE-2024-27980)

    漏洞类型 参数注入或修改 发现时间 2024-04-11 漏洞等级 严重 MPS编号 MPS-d5b7-omr9 CVE编号 CVE-2024-27980 漏洞影响广度 广 漏洞危害 OSCS 描述 Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时环境,用于构建快速、可扩展的网络应用程序。 Windows 的 Create…

    2024年4月12日
    0
  • Torchserve 存在Zip Slip漏洞 (CVE-2023-48299)

    漏洞类型 相对路径遍历 发现时间 2023-11-22 漏洞等级 中危 MPS编号 MPS-boq6-8t0d CVE编号 CVE-2023-48299 漏洞影响广度 小 漏洞危害 OSCS 描述 Torchserve 是 Facebook 公司开发的深度学习模型部署框架,可用于快捷部署 pytorch 模型。 Torchserve 受影响版本中,由于 Zi…

    2023年11月23日
    0
  • Oracle WebLogic T3/IIOP协议远程代码执行漏洞 (CVE-2024-21006)

    漏洞类型 反序列化 发现时间 2024-04-17 漏洞等级 高危 MPS编号 MPS-4q59-ecuw CVE编号 CVE-2024-21006 漏洞影响广度 一般 漏洞危害 OSCS 描述 Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件。 在WebLogic Server12.2…

    漏洞 2024年4月22日
    0