zookeeper 未授权

一、漏洞详情

漏洞危害：

未经授权的用户可以直接访问数据库中的所有信息，造成严重的信息泄漏。

修复建议：

建议管理员只允许受信任的用户访问网络。

二、ZooInspector的使用

1、下载 https://issues.apache.org/jira/secure/attachment/12436620/ZooInspector.zip； 2、运行zookeeper-dev-ZooInspector.jar a. 解压，进入目录ZooInspector\build。 b. 在build目录，按住shift键右键鼠标，在右键菜单出选择“在此处打开命令窗口”。

c.  `java -jar zookeeper-dev-ZooInspector.jar ` //执行成功后，会弹出java ui client。

3、点击左上角连接按钮，输入zk服务地址：ip:2181

点击OK，即可查看ZK节点信息

Elasticsearch 未授权

一、漏洞详情

漏洞评级：严重

漏洞危害：

Elasticsearch的HTTP连接不实施任何权限控制措施。一旦部署在公共网络上，Elasticsearch很容易出现数据泄漏。

修复建议：

我们建议您不要在互联网上发布Elasticsearch的端口9200服务。

未授权访问路径

http://IP地址:9200/_cat

  redis 未授权

一、漏洞详情

漏洞评级：严重

漏洞危害：

未经授权的用户可以直接访问数据库中的所有信息，造成严重的信息泄漏。

修复建议：

建议管理员只允许受信任的用户访问网络。

memcached未授权

漏洞危害：

未经授权的用户可以直接访问数据库中的所有信息，造成严重的信息泄漏。

修复建议：

 因memcache无权限控制功能，所以需要用户对访问来源进行限制。一般不需要外网访问的，可以直接绑定本地127.0.0.1 即可。

durid未授权访问漏洞

https://ip地址/druid/index.html