一、概要
近日，基調(diào)聽云關(guān)注到Apache ZooKeeper中，由于缺少 ACL（訪問控制列表）檢查，在處理持久性觀察者（watchers）時存在信息泄露問題。攻擊者通過向其已有訪問權(quán)限的父節(jié)點附加一個持久性觀察者（使用 addWatch 命令）來監(jiān)視子節(jié)點。當持久性觀察者被觸發(fā)時，ZooKeeper 服務(wù)器不會進行ACL檢查，觀察者的擁有者可以獲知觸發(fā)觀察事件的 znode 的完整路徑。從而獲取 znode 路徑中可能包含的諸如用戶名或登錄 ID 等敏感信息。
參考鏈接：https://zookeeper.apache.org/security.html#CVE-2024-23944
二、威脅級別
威脅級別：【嚴重】
三、CVSS評分
暫無
四、漏洞影響范圍
影響版本：3.9.0-3.9.1、3.8.0-3.8.3、3.6.0-3.7.2

安全版本：
3.9.2、3.8.4
五、漏洞排查及處置
目前，基調(diào)聽云已發(fā)布新補丁修復(fù)了該漏洞，請受影響的用戶聯(lián)系相應(yīng)的技術(shù)支持升級到安全版本。