Apache ZooKeeper persistent watchers敏感信息泄露漏洞 (CVE-2024-23944)

漏洞类型 未授权敏感信息泄露 发现时间 2024-03-15 漏洞等级 严重
MPS编号 MPS-kfgl-etid CVE编号 CVE-2024-23944 漏洞影响广度 一般

漏洞危害

OSCS 描述
Apache ZooKeeper是一个开源的分布式协调服务,persistent watchers 是对节点的监控机制。
受影响版本中,由于 addWatch 命令缺少 ACL 检查,未经身份验证的攻击者可利用通过 addWatch 命令将 persistent watchers 添加到攻击者已经访问的父节点来监视子 znodes,进而获取 znode 的路径信息(可能包含用户名或登录ID等敏感信息)。
参考链接:https://www.oscs1024.com/hd/MPS-kfgl-etid

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.zookeeper:zookeeper [3.9.0, 3.9.2) 升级 将 org.apache.zookeeper:zookeeper 升级至 3.9.2 及以上版本
org.apache.zookeeper:zookeeper [3.6.0, 3.8.4) 升级 将 org.apache.zookeeper:zookeeper 升级至 3.8.4 及以上版本
org.apache.zookeeper:zookeeper-it [3.6.0, 3.8.4) 升级 将 org.apache.zookeeper:zookeeper-it 升级至 3.8.4 及以上版本
org.apache.zookeeper:zookeeper-it [3.9.0, 3.9.2) 升级 将 org.apache.zookeeper:zookeeper-it 升级至 3.9.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-kfgl-etid

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-kfgl-etid

https://nvd.nist.gov/vuln/detail/CVE-2024-23944

https://issues.apache.org/jira/browse/ZOOKEEPER-4799

https://github.com/apache/zookeeper/commit/65b91d2d9a56157285c2a86b106e67c26520b01d

(0)
上一篇 2024年3月16日 下午2:00
下一篇 2024年3月19日 下午8:00

相关推荐

  • Uptime Kuma<1.23.3 存在持久用户会话漏洞 (CVE-2023-44400)

    漏洞类型 会话固定 发现时间 2023-10-10 漏洞等级 中危 MPS编号 MPS-p4yv-trm8 CVE编号 CVE-2023-44400 漏洞影响广度 广 漏洞危害 OSCS 描述 Uptime Kuma 是开源的自托管的监控工具。 1.23.3 之前版本中由于未对用户cookie有效清理并且未有效设置过期时间,当用户注销或修改密码后cookie…

    2023年10月10日
    0
  • glibc __vsyslog_internal 本地提权漏洞 (CVE-2023-6246)

    漏洞类型 缓冲区溢出 发现时间 2024-01-31 漏洞等级 高危 MPS编号 MPS-imzk-oyuj CVE编号 CVE-2023-6246 漏洞影响广度 广 漏洞危害 OSCS 描述 glibc(又名GNU C Library,libc6)是按照LGPL许可协议发布的开源免费C标准库。 由于 __vsyslog_internal 函数未正确处理打印…

    2024年2月1日
    0
  • Apache Kafka ACL配置错误漏洞 (CVE-2024-27309)

    漏洞类型 权限管理不当 发现时间 2024-04-12 漏洞等级 高危 MPS编号 MPS-pyb8-l75n CVE编号 CVE-2024-27309 漏洞影响广度 广 漏洞危害 OSCS 描述 Kafka 是 Apache 软件基金会的一种分布式的、基于发布/订阅的消息系统。 Apache Kafka在从ZooKeeper模式迁移到KRaft模式时存在A…

    漏洞 2024年4月15日
    0
  • 【POC已公开】Oracle WebLogic Server 存在JNDI注入漏洞 (CVE-2024-20931)

    漏洞类型 注入 发现时间 2024-02-06 漏洞等级 高危 MPS编号 MPS-epi6-f7cb CVE编号 CVE-2024-20931 漏洞影响广度 一般 漏洞危害 OSCS 描述 Oracle WebLogic Server是一个用于构建、部署和管理企业级Java应用程序。AQjmsInitialContextFactory 是一个允许应用程序使…

    2024年2月7日
    0
  • Apache OFBiz 未授权远程代码执行漏洞 (CVE-2023-51467)

    漏洞类型 凭据管理错误 发现时间 2023-12-26 漏洞等级 严重 MPS编号 MPS-qkfi-ya3x CVE编号 CVE-2023-51467 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。OFBiz支持运行 Grovvy代码来编程导出数据。 由于LoginWorker.java中使用if (…

    2023年12月27日
    0