首頁 > 安全研究 > 安全通報 > 安全通告

Apache Hadoop潛在權限提升漏洞(CVE-2020-9492)

發布時間 2021-01-27

0x00 漏洞概述

CVE  ID

CVE-2020-9492

時  間

2021-01-27

類  型

權限提升

等  級

高危

遠程利用

影響范圍


 

0x01 漏洞詳情

image.png

 

Apache Hadoop是一套用于由通用硬件構建的大型集群上運行應用程序的框架,它實現了Map/Reduce編程范型,計算任務會被多次分割成小塊并運行在不同的節點上。除此之外,它還提供了一款分布式文件系統(HDFS),數據被存儲在計算節點上以提供高效的跨數據中心聚合帶寬。

2021年01月26日,Apache發布安全公告,公開了Apache Hadoop中一個潛在的權限提升漏洞(CVE-2020-9492)。

WebHDFS客戶端可能會在沒有適當驗證的情況下將SPNEGO授權標頭發送到遠程URL,攻擊者可以通過利用此漏洞將服務器憑證發送到webhdfs路徑來獲取服務主體。

 

影響范圍

Apache Hadoop 3.2.0-3.2.1

Apache Hadoop 3.0.0-alpha1-3.1.3

Apache Hadoop 2.0.0-alpha-2.10.0


0x02 處置建議

目前,該漏洞的補丁暫未發布,建議及時應用以下緩解措施。

緩解措施

設置不同的http簽名機密,并使用專用主機進行每個權限模擬服務(如HiveServer2)。

升級到3.3.0、3.2.2、3.1.4、2.10.1或更新的TLS加密版本,啟用并將dfs.http.policy配置為HTTPS_ONLY。

 

0x03 參考鏈接

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAP+3qq6eDjjZG-G03RFRj9rrG4r1u=891UUEU2S8fbOCKTe4QA@mail.gmail.com%3E

https://hadoop2help.blogspot.com/2021/01/cve-2020-9492-apache-hadoop-potential.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9492

 

0x04 時間線

2021-01-26  Apache發布安全公告

2021-01-27  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

 

上一篇 下一篇