百度游戏某zookeeper服务未授权访问

漏洞标题 百度游戏某zookeeper服务未授权访问
相关厂商 百度
漏洞作者 荒废的腰子
提交时间 2016-02-17 11:15
公开时间 2016-02-22 11:20
漏洞类型 重要敏感信息泄露
危害等级
自评Rank 20
漏洞状态 漏洞已经通知厂商但是厂商忽略漏洞
Tags标签 zk未授权访问

漏洞详情

百度游戏一枚zookeeper未授权访问,看主机名就知道是百度的了

zk.png

再看看zk的value

zk1.png

漏洞证明:

百度游戏一枚zookeeper未授权访问,看主机名就知道是百度的了

zk.png

再看看zk的value

zk1.png

修复方案:

百度一下,你就知道了~

版权声明:转载请注明来源 荒废的腰子@乌云

【安全脉搏:分享技术、悦享品质。文章仅代表作者看法,如有不同观点,欢迎添加安全脉搏微信号:SecPulse,进行交流。】

1条评论

评论加载中,请稍等...
  • AAAA  回复

    修复建议:
    1、禁止把Zookeeper直接暴露在公网
    2、添加访问控制,根据情况选择对应方式(认证用户,用户名密码,指定IP)。

昵称*

邮箱*

网址

友情链接

合作伙伴