Estaba realizando una prueba de seguridad para un cliente cuando encontré un Zookeeper Instalación en xx.xxxx: 2181. Probar NetCat reveló que soy capaz de todos los siguientes comandos:
volcado : enumera las sesiones pendientes y los nodos efímeros. Esto solo funciona en el líder.
envi : imprime detalles sobre el entorno de servicio
kill : apaga el servidor. Esto debe ser emitido desde la máquina en la que se está ejecutando el servidor ZooKeeper. (No he probado este)
requisitos : enumerar solicitudes pendientes
ruok : comprueba si el servidor se está ejecutando en un estado de no error. El servidor responderá con imok si se está ejecutando. De lo contrario, no responderá en absoluto.
srst : restablece las estadísticas devueltas por el comando stat.
stat : muestra estadísticas sobre el rendimiento y los clientes conectados.
No estoy familiarizado con Zookeeper, así que discúlpeme si esto parece una pregunta estúpida, pero ¿se supone que Zookeeper es accesible sin autenticación? ¿Y también cuáles son las implicaciones de tener esta aplicación expuesta?
Cualquier ayuda es realmente apreciada, Gracias