Apache Ambari任意文件下载漏洞(CVE-2020-13924)风险通告

2021-02-07 20:33:46
2021年2月7日,Apache官方公告了一个 Apache Ambari任意文件下载漏洞。Ambari 的鉴权模块存在设计缺陷,恶意用户可以绕过身份验证,进行目录遍历和下载任意文件。

漏洞描述:

2021年2月7日,Apache官方公告了一个 Apache Ambari任意文件下载漏洞。Ambari 的鉴权模块存在设计缺陷,恶意用户可以绕过身份验证,进行目录遍历和下载任意文件。

 

Ambari是Apache软件基金会的一个项目,Ambari使系统管理员可以配置、管理和监视Hadoop集群,还可以将Hadoop与现有企业基础架构集成。

 

漏洞编号:

CVE-2020-13924

 

漏洞等级:中危

 

受影响的版本:

Apache Ambari <= 2.6.2.2

 

安全版本:

Apache Ambari > 2.6.2.2

 

腾讯安全网络空间测绘:

腾讯安全网络空间测绘结果显示,Apache Ambari组件分布于世界各地,美国(43.42%)、中国(25.47%)、俄罗斯(5.91%)位居前三。在中国大陆地区,北京、浙江、广东、上海四省市位居前列,合计占比超过80%。

腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 es@tencent.com 了解产品详情。

 

漏洞修复建议:

腾讯安全专家建议受影响的用户升级到安全版本。

 

参考链接:

https://lists.apache.org/thread.html/rf3591e1e040ba26248ab8c8356ce01d2a6642cd4c26096561ee47766%40%3Cuser.ambari.apache.org%3E



扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


最新资讯