【漏洞预警】Apache Hadoop YARN远程代码执行漏洞

admin 2023年3月6日17:00:18评论70 views字数 1128阅读3分45秒阅读模式


【漏洞预警】Apache Hadoop YARN远程代码执行漏洞

1. 通告信息

【漏洞预警】Apache Hadoop YARN远程代码执行漏洞


近日,安识科技A-Team团队监测到Apache官方发布安全公告,修复了Apache Hadoop YARN中的一个远程代码执行漏洞(CVE-2021-25642)

对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。


【漏洞预警】Apache Hadoop YARN远程代码执行漏洞

2. 漏洞概述

【漏洞预警】Apache Hadoop YARN远程代码执行漏洞


Apache Hadoop YARN (Yet Another Resource Negotiator,另一种资源协调者)是一种新的 Hadoop 资源管理器,它是一个通用资源管理系统和调度平台。

ZKConfigurationStore是Apache Hadoop YARN的CapacityScheduler可选使用的,由于ZKConfigurationStore可在未经验证的情况下反序列化从ZooKeeper获得的数据,因此能够访问ZooKeeper的威胁者可以利用此漏洞以YARN用户身份运行任意命令。


【漏洞预警】Apache Hadoop YARN远程代码执行漏洞

3. 漏洞危害

【漏洞预警】Apache Hadoop YARN远程代码执行漏洞


漏洞名称:Apache Hadoop YARN远程代码执行漏洞

CVE编号:CVE-2021-25642

ZKConfigurationStore是Apache Hadoop YARN的CapacityScheduler可选使用的,由于ZKConfigurationStore可在未经验证的情况下反序列化从ZooKeeper获得的数据,因此能够访问ZooKeeper的威胁者可以利用此漏洞以YARN用户身份运行任意命令。


【漏洞预警】Apache Hadoop YARN远程代码执行漏洞

4. 影响版本

【漏洞预警】Apache Hadoop YARN远程代码执行漏洞


目前受影响的 Apache Hadoop产品版本:

2.9.0 <= Apache Hadoop <= 2.10.1

3.0.0-alpha <= Apache Hadoop <= 3.2.3

3.3.0 <= Apache Hadoop <= 3.3.3


【漏洞预警】Apache Hadoop YARN远程代码执行漏洞

5. 解决方案

【漏洞预警】Apache Hadoop YARN远程代码执行漏洞


目前此漏洞已经修复,受影响用户可升级到Apache Hadoop 2.10.2、3.2.4、3.3.4 或更高版本(包含 YARN-11126)。

下载链接:

https://hadoop.apache.org/releases.html

注:不使用ZKConfigurationStore的用户不易受到此漏洞影响。

参考链接:

https://lists.apache.org/thread/g6vf2h4wdgzzdgk91mqozhs58wotq150

https://hadoop.apache.org/


【漏洞预警】Apache Hadoop YARN远程代码执行漏洞

6. 时间轴

【漏洞预警】Apache Hadoop YARN远程代码执行漏洞


-20220827 安识科技A-Team团队监测到漏洞公布信息

-20220828 安识科技A-Team团队根据漏洞信息分析

-20220829 安识科技A-Team团队发布安全通告



原文始发于微信公众号(SecPulse安全脉搏):【漏洞预警】Apache Hadoop YARN远程代码执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月6日17:00:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Apache Hadoop YARN远程代码执行漏洞https://cn-sec.com/archives/1261667.html

发表评论

匿名网友 填写信息