Zookeeper未授权访问检测与修复

之前遇到zookeeper未授权访问问题，网上查到的资料基本都是关于限制匿名访问的解决方法，没有找到解决信息泄露的问题，最后查阅官方文档才解决，故此分享一下。

漏洞描述：

可收集目标服务器收集敏感信息，或者破坏zookeeper集群。

受影响范围：

ZooKeeper 3.4.10 之前版本受影响

ZooKeeper 3.5.0-alpha 至 3.5.3-beta受影响

ZooKeeper 1.x 至 3.3.x 也可能受影响

漏洞检测：

echo envi | nc IP 端口（默认端口2181）

存在漏洞如下图：

其他命令：

conf：输出相关服务配置的详细信息。

cons：列出所有连接到服务器的客户端的完全的连接 / 会话的详细信息。包括“接受 / 发送”的包数量、会话 id 、操作延迟、最后的操作执行等等信息。

dump：列出未经处理的会话和临时节点。

envi：输出关于服务环境的详细信息（区别于 conf 命令）。

reqs：列出未经处理的请求

ruok：测试服务是否处于正确状态。如果确实如此，那么服务返回“imok ”，否则不做任何相应。

stat：输出关于性能和连接的客户端的列表。

wchs：列出服务器 watch 的详细信息。

wchc：通过 session 列出服务器 watch 的详细信息，它的输出是一个与watch 相关的会话的列表。

wchp：通过路径列出服务器 watch 的详细信息。它输出一个与 session相关的路径。

使用zookeeper客户端连接服务器

./zkCli.sh -server ip:port

漏洞修复：

1、目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://zookeeper.apache.org/security.html#CVE-2019-0201

2、设置防火墙策略限制 IP 访问

参考链接：

https://cwiki.apache.org/confluence/display/ZOOKEEPER/Server-Server+mutual+authentication

https://issues.apache.org/jira/browse/ZOOKEEPER-1045

https://zookeeper.apache.org/doc/current/zookeeperAdmin.html