漏洞速览
■Apache ZooKeeper Admin Server 身份验证绕过漏洞
■RabbitMQ HTTP API 权限验证绕过漏洞
漏洞详情
1.Apache ZooKeeper Admin Server 身份验证绕过漏洞
影响组件:Apache ZooKeeper 是开源的分布式应用程序协调服务,IPAuthenticationProvider 是其身份验证提供器,用于基于客户端 IP 地址进行身份验证。
漏洞危害:受影响版本的 ZooKeeper Admin Server 使用 IPAuthenticationProvider 进行身份验证,由于其使用由代理服务器添加的 HTTP 请求头 X-Forwarded-For,攻击者可通过伪造 X-Forwarded-For 头中的 IP 地址,通过 Admin Server 的校验,使用特权命令。目前该漏洞技术细节已在互联网上公开,建议客户尽快做好自查及防护。
影响范围:3.9.0 <= zookeeper < 3.9.3修复方案:目前该漏洞已经修复,受影响用户可升级到以下版本:Apache ZooKeeper >= 3.9.3下载链接:https://zookeeper.apache.org/releases.html
2.RabbitMQ HTTP API 权限验证绕过漏洞
影响组件:RabbitMQ 是一个开源的消息代理和队列管理工具,用于分布式系统中的消息传递。
漏洞危害:受影响版本中,RabbitMQ 的 HTTP API 在执行队列删除操作时,未充分验证用户的 configure 权限,拥有 HTTP API 访问凭据但不具有队列删除权限的攻击者可绕过权限限制,通过DELETE /api/queues/{vhost}/{name} 请求删除其不具备删除权限的队列。目前该漏洞技术细节与EXP已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护
影响范围:3.12.7 <=rabbitmq < 3.12.11修复方案:目前官方已有可更新版本,建议受影响用户升级至最新版本:rabbitmq >= v2.3.7官方下载地址:https://www.rabbitmq.com/docs/prometheus以上内容均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,易安联以及文章作者不承担任何责任。
易安联玄影实验室
易安联玄影实验室,是易安联为落实公司发展战略,促进网络空间安全生态建设,孵化下一代安全能力,进行高级别的攻防对抗研究而组建的专业性安全实验室。推出的威胁情报和天织DNS威胁分析平台,可以为用户提供高效的威胁防护能力,帮助用户更好地应对各类网络威胁。
关于易安联
国家级专精特新小巨人企业——江苏易安联网络技术有限公司(www.enlink.top,简称易安联)是专业从事网络信息安全产品研发与销售的高新技术企业,是国内领先的“零信任”安全产品及解决方案提供商,公司总部位于南京,在北京、深圳、珠海、杭州、成都、合肥、济南、西安等地设立分支机构,公司致力于成为国内零信任安全领导者!
易安联专注零信任安全,先后发布EnSDP(零信任安界防护平台)、EnBox(零信任安全工作空间)、EnCASB(零信任云应用安全接入平台)、EnAppGate(统一资源发布系统)、EnIAM(零信任身份管理平台)、EnDTA(天织·DTA威胁分析系统)、EnSASE(安全访问服务平台)、Linkup one(零信任VPN接入系统)、天识·网站云监控平台等多款产品及解决方案,推出ZTNA零信任网络架构解决方案和EnSASE安全访问服务边缘解决方案并提供包括安全运维、实战攻防、应急演练等安全服务。公司目前客户已超千家,涵盖教育、金融、电力、互联网、运营商等行业。
https://mp.weixin.qq.com/s/dbjgCUVMRz0fyfYFH0J4rw
热门跟贴