Apache ZooKeeper 是一种广泛使用的集中式服务，用于管理分布式应用程序的配置和同步： CVE-2024-51504。该漏洞被评为 “重要 ”严重性问题，它使 ZooKeeper 管理服务器面临通过 IP 欺骗绕过验证的风险。

该漏洞存在于 ZooKeeper 基于 IP 的身份验证机制中，它利用了管理服务器中的 IPAuthenticationProvider。由于 IP 地址检测的默认配置较弱，攻击者可以通过欺骗客户端的 IP 地址绕过验证。Apache 的公告称，“默认配置会通过 X-Forwarded-For HTTP 头来读取客户端的 IP 地址”。不幸的是，这个头很容易被篡改，因为 “X-Forwarded-For 请求头主要被代理服务器用来识别客户端，很容易被攻击者欺骗”。

一旦被成功利用，攻击者就可以在未经授权的情况下访问关键的 Admin Server 命令，包括快照和还原操作。这些命令允许与服务器的配置和备份过程直接交互，可能导致信息泄漏和服务可用性问题。

一旦被利用，该漏洞将对ZooKeeper的完整性构成重大风险，尤其是对于依赖ZooKeeper在分布式应用程序中提供关键配置和组服务的企业而言。该公告警告说：”管理员服务器命令（如快照和还原）可在成功利用后被任意执行。

安全研究人员 4ra1n 和 Y4tacker 发现并报告了 CVE-2024-51504。

Apache ZooKeeper 团队敦促用户更新至 3.9.3 版本，该版本提供了解决该漏洞的基本修复。该更新版本包括更强的身份验证检查，通过加强客户端身份验证降低了 IP 欺骗攻击的风险。鉴于缺乏有效的解决方法，建议使用易受攻击版本的任何组织立即升级。