@时光机
3年前 提问
1个回答

Zookeeper 未授权访问漏洞是怎么回事

Zookeeper 未授权访问漏洞是怎么回事?

安全小白成长记
3年前

ZooKeeper是⼀个开放源码的分布式应⽤程序协调服务,默认开放端⼝是2181,提供的功能包括:配置维护、名字服务、分布式同步、组服务等。
Zookeeper默认是未授权就可以访问,特别对于公⽹开放的Zookeeper来说,可以导致信息泄露或者对Zookeeper集群进⾏破坏。
攻击者能够执⾏所有只允许由管理员运⾏的命令
安全建议:
1,禁⽌把Zookeeper直接暴露在公⽹
2,添加访问控制,根据情况选择对应⽅式(认证⽤⼾,⽤⼾名密码,指定IP)