漏洞详情: CVE-2019-0201

漏洞标题
NVD 暂无描述信息
来源:NVD
Apache Zookeeper 授权问题漏洞
来源:CNNVD
漏洞描述
An issue is present in Apache ZooKeeper 1.0.0 to 3.4.13 and 3.5.0-alpha to 3.5.4-beta. ZooKeeper’s getACL() command doesn’t check any permission when retrieves the ACLs of the requested node and returns all information contained in the ACL Id field as plaintext string. DigestAuthenticationProvider overloads the Id field with the hash value that is used for user authentication. As a consequence, if Digest Authentication is in use, the unsalted hash value will be disclosed by getACL() request for unauthenticated or unprivileged users.
来源:NVD
Apache Zookeeper是美国阿帕奇(Apache)软件基金会的一个软件项目,它能够为大型分布式计算提供开源的分布式配置服务、同步服务和命名注册等功能。 Apache ZooKeeper 1.0.0版本至3.4.13版本和3.5.0-alpha版本至3.5.4-beta版本中存在授权问题漏洞。该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。
来源:CNNVD
一个问题存在于Apache ZooKeeper 1.0.0 到 3.4.13 和 3.5.0-alpha 到 3.5.4-beta 版本中。当从请求的节点中提取ACL 时,ZooKeeper的 getACL() 命令不会检查任何权限,并将ACLId字段中的所有信息作为文本字符串返回。 DigestAuthenticationProvider 将Id字段过度填充,用于用户认证使用的哈希值。因此,如果 DigestAuthentication 正在使用,未认证或未特权的用户将收到 getACL() 请求时揭示未加密的哈希值。
来源:神龙机器人
漏洞评分(CVSS)
NVD 暂无评分
来源:NVD
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:神龙机器人, 准确率:N/A
漏洞类别
NVD 暂无漏洞类别信息
来源:NVD
授权问题
来源:CNNVD
相关链接