北京赛克艾威科技有限公司 2024-11-07
Apache ZooKeeper是一个开源的分布式协调服务,它用于维护配置信息、命名、提供分布式同步以及提供组服务。AdminServer是其中一个特性,提供了HTTP接口来供用户通过API访问ZooKeeper的相关命令。2024年11月,官方披露其在使用 IPAuthenticationProvider 时使用IP白名单进行认证的情况下,攻击者可伪造X\-Forwarded\-For头绕过相关验证。
官方已发布安全更新,建议升级至最新版本
https://zookeeper.apache.org/
https://avd.aliyun.com/detail?id=AVD-2024-51504
