apache hadoop 特权管理不恰当

CVE编号

CVE-2020-9492

利用情况

暂无

补丁情况

N/A

披露时间

2021-01-27

漏洞描述

Apache Hadoop是美国阿帕奇（Apache）基金会的一套开源的分布式系统基础架构。该产品能够对大量数据进行分布式处理，并具有高可靠性、高扩展性、高容错性等特点。
Apache Hadoop 3.2.0到3.2.1、3.0.0-alpha1到3.1.3、2.0.0-alpha到2.10.0存在安全漏洞，该漏洞源于WebHDFS客户端可能会发送SPNEGO授权报头到远程URL，而未能进行适当的验证。目前没有详细的漏洞细节提供。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://lists.apache.org/thread.html/r513758942356ccd0d14538ba18a09903fc72716d74be1cb727ea91ff%40%3Cgeneral.hadoop.apache.org%3E

参考链接
https://lists.apache.org/thread.html/r0a534f1cde7555f7208e9f9b791c1ab396d215e...
https://lists.apache.org/thread.html/r49c9ab444ab1107c6a8be8a0d66602dec32a16d...
https://lists.apache.org/thread.html/r4a57de5215494c35c8304cf114be75d42df7abc...
https://lists.apache.org/thread.html/r513758942356ccd0d14538ba18a09903fc72716...
https://lists.apache.org/thread.html/r6341f2a468ced8872a71997aa1786ce03624241...
https://lists.apache.org/thread.html/r6c2fa7949738e9d39606f1d7cd890c93a2633e3...
https://lists.apache.org/thread.html/r79201a209df9a4e7f761e537434131b4e39eabe...
https://lists.apache.org/thread.html/r79323adac584edab99fd5e4b52a013844b784a5...
https://lists.apache.org/thread.html/r9328eb49305e4cacc80e182bfd8a2efd8e640d9...
https://lists.apache.org/thread.html/r941e9be04efe0f455d20aeac88516c0848decd7...
https://lists.apache.org/thread.html/rb12afaa421d483863c4175e42e5dbd0673917a3...
https://lists.apache.org/thread.html/rc0057ebf32b646ab47f7f5744a8948332e015c3...
https://lists.apache.org/thread.html/rca4516b00b55b347905df45e5d0432186248223...
https://lists.apache.org/thread.html/re4129c6b9e0410848bbd3761187ce9c19bc1cd4...
https://security.netapp.com/advisory/ntap-20210304-0001/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	hadoop	*	From (including) 2.0.0	Up to (including) 2.10.0
	运行在以下环境
	应用	apache	hadoop	*	From (including) 3.0.0	Up to (including) 3.1.3
	运行在以下环境
	应用	apache	hadoop	*	From (including) 3.2.0	Up to (including) 3.2.1

攻击路径网络
攻击复杂度低
权限要求低
影响范围未更改
用户交互无
可用性高
保密性高
完整性高

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-269 特权管理不恰当 CWE-863 授权机制不正确

正文

apache hadoop 特权管理不恰当

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Jazz Reporting Service-Rational-CLM安全绕过管理任务执行漏洞

IBM Jazz Reporting Service up to 5.0.2/6.0.0 Report Builder 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

NetApp Data ONTAP信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]