Tin An Ninh Mạng

CVE-2023-44981: Lỗ hổng nghiêm trọng trong ZooKeeper Apache

hacker 17
Mới đây, các nhà nghiên cứu đã phát hiện CVE-2023-44981, một lỗ hổng an ninh nghiêm trọng trong ZooKeeper Apache .

{

}

1697110415283.png

ZooKeeper là một dịch vụ điều phối phân tán có chức năng hỗ trợ quản lý một tập hợp lớn các máy chủ. Nó giống như trung tâm thần kinh của nhiều hệ thống phân tán, duy trì trạng thái chia sẻ và đảm bảo sự phối hợp hiệu quả.

Theo các chuyên gia, bằng cách bỏ một phần phiên bản trong ID xác thực SASL, như ‘[email protected]‘, ZooKeeper sẽ cho phép ủy quyền mà không cần xác thực.

Điều này giống như việc mở ra một backdoor, bất kỳ endpoint tùy ý nào cũng có thể tham gia và thực hiện các thay đổi trong cụm máy chủ. Về bản chất, điều này cho tin tặc quyền truy cập không bị kiểm soát để đọc và thay đổi cây dữ liệu. Đây là một mối đe dọa đáng kể, đặc biệt là với vai trò của ZooKeeper trong nhiều hệ thống.

Các phiên bản ZooKeeper đang tồn tại lỗ hổng:

  • Apache ZooKeeper 3.9.0
  • Apache ZooKeeper 3.8.0 đến 3.8.2
  • Apache ZooKeeper 3.7.0 đến 3.7.1
  • Các phiên bản Apache ZooKeeper trước 3.7.0

Người dùng được khuyến khích nâng cấp lên các phiên bản sau để giải quyết lỗ hổng:

  • Apache ZooKeeper 3.9.1
  • Apache ZooKeeper 3.8.3
  • Apache ZooKeeper 3.7.2

Đối với những người không thể nâng cấp ngay lập tức, sẽ có một biện pháp thay thế. Đảm bảo rằng hoạt động liên lạc trong cụm của bạn được củng cố bằng cách cấu hình tường lửa. Nó sẽ hoạt động như một hàng rào bảo vệ, giảm thiểu tác động của lỗ hổng.

Nguồn: Security Online

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !