CVE-2024-23944

Versões do Apache ZooKeeper anteriores à 3.9.2

Versões do Apache ZooKeeper anteriores à 3.8.4

O problema está relacionado à divulgação de informações no tratamento de observadores persistentes no Apache ZooKeeper, devido à falta de verificação de ACL. Isso permite que um invasor monitore znodes filhos anexando um observador persistente (comando addWatch) a um pai ao qual o invasor já tenha acesso. O servidor ZooKeeper não realiza verificação de ACL quando o observador persistente é acionado e, como consequência, o caminho completo dos znodes nos quais um evento de observação é acionado fica exposto ao proprietário do observador. Apenas o caminho é exposto por essa vulnerabilidade, não os dados do znode, mas como o caminho do znode pode conter informações confidenciais, como nome de usuário ou ID de login, esse problema é potencialmente crítico. Aproximadamente 83.109 dispositivos estão potencialmente afetados, distribuídos principalmente na China e nos Estados Unidos.

Para resolver o problema, atualize para a versão 3.9.2 ou 3.8.4, que corrige a falha.

Como solução temporária, considere restringir o acesso ao comando addWatch para minimizar o risco de exploração.

Evite usar informações confidenciais nos caminhos dos znodes até que o problema seja resolvido.