Фонд Apache Software Foundation выпустил срочные обновления безопасности для Apache ZooKeeper - ключевого сервиса для управления конфигурацией, координации и обеспечения надежного взаимодействия в распределенных системах. Исправлены две уязвимости высокой степени важности (rated as "Important"), которые в эксплуатационных средах могли привести к утечке чувствительных данных и подмене серверов. Данные проблемы затрагивают популярные ветки программного обеспечения 3.8.x и 3.9.x, что делает обновление критически важным для тысяч корпоративных кластеров, использующих такие платформы, как Apache Kafka, Apache Hadoop и многие микросервисные архитектуры.
Детали уязвимостей
Первая из обнаруженных проблем, получившая идентификатор CVE-2026-24308, связана с некорректной обработкой конфигурации в компоненте ZKConfig. Суть уязвимости заключается в том, что система ошибочно записывает значения параметров конфигурации на уровне логирования INFO. На практике это означает, что конфиденциальные данные, такие как учетные записи, пароли и системные настройки, попадают в обычные файлы журналов событий (logfiles) в открытом, незашифрованном виде. Поскольку логирование уровня INFO по умолчанию часто включено в промышленных средах для мониторинга, эта уязвимость создает значительный риск раскрытия информации. Злоумышленник или даже внутренний пользователь, имеющий доступ к файлам логов, мог бы легко извлечь из них критичные для безопасности учетные данные. Данную проблему обнаружил и сообщил исследователь Юлонг Чен.
Вторая уязвимость, зарегистрированная как CVE-2026-24281, представляет собой обход проверки имен узлов (hostname verification bypass) в модуле ZKTrustManager. Механизм проверки сертификатов в ZooKeeper содержит уязвимую логику отката (fallback). Когда стандартная проверка по IP-адресу в поле Subject Alternative Name (SAN) сертификата не удается, система автоматически переходит к обратному DNS-запросу (PTR lookup) для разрешения имени хоста. Злоумышленник, способный контролировать или подделывать PTR-записи в DNS, может манипулировать этим механизмом отката, чтобы выдать свой сервер за легитимный узел ZooKeeper. Это открывает путь для атак типа "злоумышленник в середине" (man-in-the-middle), позволяя перехватывать или модифицировать трафик между компонентами распределенной системы. Для успешной эксплуатации атакующему необходимо предъявить цифровой сертификат, которому доверяет ZKTrustManager. Хотя это условие усложняет атаку, риск остается высоким для целевых корпоративных сетей, где возможен компромисс внутренней инфраструктуры публичных ключей (PKI). Данный недостаток, отслеживаемый внутри проекта как ZOOKEEPER-4986, был выявлен исследователем Никитой Маркевичем.
Обе уязвимости затрагивают одни и те же версии программного обеспечения: ветку 3.8.x вплоть до 3.8.5 и ветку 3.9.x впло до 3.9.4. Учитывая центральную роль ZooKeeper в архитектуре многих критически важных сервисов, последствия их эксплуатации могут быть серьезными. Утечка учетных данных через логи может привести к полному компромиссу кластера, а подмена сервера - к нарушению целостности данных, сбоям в координации сервисов и остановке бизнес-процессов.
Команда безопасности Apache настоятельно рекомендует всем администраторам немедленно обновить свои развертывания ZooKeeper до версий 3.8.6 или 3.9.5. Эти выпуски содержат фундаментальные архитектурные исправления. Для устранения уязвимости, связанной с логированием, обновление предотвращает запись чувствительных данных конфигурации в стандартные операционные журналы. Что касается обхода проверки имени узла, в исправленные версии введена новая опция конфигурации, позволяющая полностью отключить обратные DNS-запросы как для клиентского протокола, так и для протокола кворума. Полное удаление механизма отката на PTR-запросы навсегда ликвидирует вектор спуфинга.
Помимо установки обновлений, эксперты рекомендуют группам информационной безопасности провести активный аудит журналов событий уровня INFO, накопленных до момента установки патча. Это необходимо для выявления потенциально раскрытых учетных данных. В случае обнаружения в логах паролей, ключей аутентификации или других секретов, эти данные необходимо немедленно заменить (осуществить ротацию) на всех затрагиваемых системах. Также стоит пересмотреть политики логирования для компонентов, обрабатывающих конфигурации, ограничив уровень детализации для рабочих сред. Постоянный мониторинг и анализ логов с помощью SIEM-систем (класса программных продуктов для управления событиями информационной безопасности и корреляции данных) поможет своевременно обнаруживать подобные инциденты в будущем. Для распределенных систем, где ZooKeeper выступает "мозговым центром", подобные уязвимости служат напоминанием о необходимости строгого контроля за конфигурацией, принципах минимальных привилегий для доступа к логам и важности регулярного и своевременного применения обновлений безопасности даже для инфраструктурных компонентов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-24308
- https://www.cve.org/CVERecord?id=CVE-2026-24281
- https://zookeeper.apache.org/security.html
- https://lists.apache.org/thread/qng3rtzv2pqkmko4rhv85jfplkyrgqdr
- https://lists.apache.org/thread/088ddsbrzhd5lxzbqf5n24yg0mwh9jt2
