Apache Hadoop 存在远程权限提升漏洞(CVE-2018-11764)风险通告

2020-10-21 15:31:36
Apache Hadoop web端点被曝存在存在远程权限提升漏洞(漏洞编号:CVE-2018-11764),Apache Hadoop Web端身份校验存在漏洞,经过身份验证的用户可以伪造成任意用户,进而造成权限提升漏洞。

漏洞描述:

Apache Hadoop web端点被曝存在存在远程权限提升漏洞(漏洞编号:CVE-2018-11764),Apache Hadoop Web端身份校验存在漏洞,经过身份验证的用户可以伪造成任意用户,进而造成权限提升漏洞。

 

Apache Hadoop是一款支持数据密集型分布式应用程序并以Apache 2.0许可协议发布的开源软件框架。它支持在商品硬件构建的大型集群上运行的应用程序。Hadoop还提供了分布式文件系统,用以存储所有计算节点的数据,这为整个集群带来了非常高的带宽。

 

漏洞等级:高危

即使没有配置代理用户,经过身份验证的用户也可利用该漏洞模拟任何用户。

 

受影响的版本:

Apache Hadoop 3.0.0-alpha4

Apache Hadoop 3.0.0-beta1

Apache Hadoop 3.0.0

 

安全版本:

Apache Hadoop >= 3.0.1

 

修复建议:

1)Apache官方已发布漏洞修复版本,检查您的 Apache Hadoop 是否在受影响版本范围。

2)如受影响,请你选择合理时间进行升级操作,升级到修复版本,避免影响业务。

 

【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外

 

参考链接:

官方安全公告:https://www.mail-archive.com/user@hadoop.apache.org/msg24103.html

 

最新资讯