关于Apache ZooKeeper身份验证绕过漏洞（CVE-2024-51504）的安全预警

一、 基本情况

Apache ZooKeeper是一个分布式协调服务，主要用于管理大型分布式系统中的数据和状态，它提供了高效的分布式锁、配置管理、命名服务和集群管理功能，通过简单的接口支持分布式应用实现一致性和协调。ZooKeeper通常用于保障分布式应用的高可用性和数据一致性，适用于如Hadoop、Kafka、HBase等系统，帮助协调各个节点的状态和操作，避免冲突和数据不一致问题。

二、 漏洞描述

Apache ZooKeeper中修复了一个身份验证绕过漏洞（CVE-2024-51504）。

Apache ZooKeeper 3.9.0 - 3.9.3之前版本中存在身份验证绕过漏洞（CVE-2024-51504），当ZooKeeper Admin Server使用基于IP的身份验证（IPAuthenticationProvider）时，由于默认配置下使用了可被轻易伪造的HTTP请求头（如X-Forwarded-For）来检测客户端IP地址，攻击者可通过伪造请求头中的IP地址来绕过身份验证，进而实现未授权访问管理服务器功能并任意执行管理服务器命令（例如快照和恢复），从而可能导致信息泄露或服务可用性问题。

三、 影响范围

3.9.0 <= Apache ZooKeeper < 3.9.3

四、 修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

Apache ZooKeeper >= 3.9.3

下载链接：

https://zookeeper.apache.org/releases.html

五、 参考链接

https://seclists.org/oss-sec/2024/q4/60

https://zookeeper.apache.org/index.html