Δύο «σημαντικά» τρωτά σημεία σοβαρότητας έχουν αποκαλυφθεί στο Apache ZooKeeper, μια ευρέως χρησιμοποιούμενη υπηρεσία για τη διαχείριση ρυθμίσεων και την ονομασία σε κατανεμημένες εφαρμογές, καθιστώντας τις έγκαιρες ενημερώσεις ασφαλείας κρίσιμες.
Αυτά τα ελαττώματα που ανακαλύφθηκαν πρόσφατα θα μπορούσαν να επιτρέψουν στους εισβολείς να έχουν πρόσβαση σε ευαίσθητα δεδομένα διαμόρφωσης ή να παρακάμψουν την επαλήθευση ονόματος κεντρικού υπολογιστή για να μιμηθούν αξιόπιστους διακομιστές. Και τα δύο τρωτά σημεία επηρεάζουν τις εκδόσεις 3.8 του ZooKeeper. x και 3,9. x κλαδιά.
Ευπάθεια Apache ZooKeeper
Η πρώτη ευπάθεια, η οποία παρακολουθείται ως CVE-2026-24308, περιλαμβάνει την αποκάλυψη ευαίσθητων πληροφοριών.
Ανακαλύφθηκε από τον ερευνητή Youlong Chen, αυτό το ελάττωμα οφείλεται στον ακατάλληλο χειρισμό των τιμών διαμόρφωσης στο στοιχείο ZKConfig.
Όταν ένας πελάτης συνδέεται, ευαίσθητα δεδομένα διαμόρφωσης εκτυπώνονται κατά λάθος στο αρχείο καταγραφής του πελάτη στο προεπιλεγμένο επίπεδο καταγραφής INFO.
Αυτό σημαίνει ότι οποιοσδήποτε μη εξουσιοδοτημένος χρήστης ή εισβολέας με πρόσβαση στα αρχεία καταγραφής του συστήματος θα μπορούσε να κλέψει αθόρυβα ευαίσθητα δεδομένα παραγωγής χωρίς να ενεργοποιήσει συναγερμούς.
Το δεύτερο τεύχος, που παρακολουθείται ως CVE-2026-24281 (και εσωτερικά ως ZOOKEEPER-4986), είναι μια παράκαμψη επαλήθευσης ονόματος κεντρικού υπολογιστή που ανακαλύφθηκε από τον Nikita Markevich.
Στο στοιχείο ZKTrustManager, εάν η επικύρωση εναλλακτικού ονόματος θέματος IP (SAN) αποτύχει, το σύστημα επανέρχεται αυτόματα σε μια αντίστροφη αναζήτηση DNS (PTR).
Ένας εισβολέας που ελέγχει ή πλαστογραφεί εγγραφές PTR μπορεί να εκμεταλλευτεί αυτήν τη συμπεριφορά για να μιμηθεί έγκυρους διακομιστές ή πελάτες ZooKeeper.
Ενώ ο εισβολέας πρέπει να παρουσιάσει ένα πιστοποιητικό αξιόπιστο από το ZKTrustManager, γεγονός που καθιστά δυσκολότερη την εκμετάλλευσή του, μια επιτυχημένη επίθεση υπονομεύει εντελώς το μοντέλο εμπιστοσύνης του συστήματος.
Για την προστασία των υποδομών από αυτές τις απειλές, Η Apache συνιστά ανεπιφύλακτα ότι οι διαχειριστές να αναβαθμίσουν αμέσως τις εγκαταστάσεις ZooKeeper στις επιδιορθωμένες εκδόσεις.
Οι επίσημες διορθώσεις είναι διαθέσιμες στις εκδόσεις 3.8.6 και 3.9.5 του Apache ZooKeeper. Η εφαρμογή αυτών των ενημερώσεων επιλύει το ελάττωμα έκθεσης καταγραφής, διασφαλίζοντας ότι το ZKConfig δεν διαρρέει πλέον ευαίσθητες τιμές σε τοπικά αρχεία.
Επιπλέον, οι ενημερώσεις διορθώνουν το πρόβλημα παράκαμψης ονόματος κεντρικού υπολογιστή εισάγοντας μια νέα επιλογή διαμόρφωσης που απενεργοποιεί τις αντίστροφες αναζητήσεις DNS τόσο για το πρωτόκολλο πελάτη όσο και για το πρωτόκολλο απαρτίας.
Εκτός από την ενημέρωση κώδικα, οι ομάδες ασφαλείας θα πρέπει να ελέγχουν ενεργά τα περιβάλλοντα καταγραφής τους για να διασφαλίσουν ότι δεν παραμένουν εκτεθειμένα ιστορικά ευαίσθητα δεδομένα σε παλαιότερα, αρχειοθετημένα αρχεία καταγραφής.
