一、 漏洞 CVE-2019-0201 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
一个问题存在于Apache ZooKeeper 1.0.0 到 3.4.13 和 3.5.0-alpha 到 3.5.4-beta 版本中。当从请求的节点中提取ACL 时,ZooKeeper的 getACL() 命令不会检查任何权限,并将ACLId字段中的所有信息作为文本字符串返回。 DigestAuthenticationProvider 将Id字段过度填充,用于用户认证使用的哈希值。因此,如果 DigestAuthentication 正在使用,未认证或未特权的用户将收到 getACL() 请求时揭示未加密的哈希值。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue is present in Apache ZooKeeper 1.0.0 to 3.4.13 and 3.5.0-alpha to 3.5.4-beta. ZooKeeper’s getACL() command doesn’t check any permission when retrieves the ACLs of the requested node and returns all information contained in the ACL Id field as plaintext string. DigestAuthenticationProvider overloads the Id field with the hash value that is used for user authentication. As a consequence, if Digest Authentication is in use, the unsalted hash value will be disclosed by getACL() request for unauthenticated or unprivileged users.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Zookeeper 授权问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Zookeeper是美国阿帕奇(Apache)软件基金会的一个软件项目,它能够为大型分布式计算提供开源的分布式配置服务、同步服务和命名注册等功能。 Apache ZooKeeper 1.0.0版本至3.4.13版本和3.5.0-alpha版本至3.5.4-beta版本中存在授权问题漏洞。该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-0201 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2019-0201 的情报信息