Apache Hadoop YARN反序列化漏洞 (CVE-2021-25642)

admin 2022年8月29日20:29:58安全文章评论36 views771字阅读2分34秒阅读模式

基本信息

风险等级: 高危

漏洞类型: 反序列化

漏洞编号: 

CVE-2021-25642


漏洞描述

近日,飓风安全应急团队监测到Apache发布安全公告,修复了一个存在于Apache Hadoop YARN中的反序列化漏洞。Apache Hadoop YARN的CapacityScheduler可选地使用ZKConfigurationStore,它可在无需验证的情况下反序列化从ZooKeeper中获取的数据。能够访问ZooKeeper的攻击者可以利用该漏洞以YARN用户的身份运行任意命令。

【受影响版本】

  • 2.9.0 <= Apache Hadoop <= 2.10.1

  • 3.0.0-alpha <= Apache Hadoop <= 3.2.3

  • 3.3.0 <= Apache Hadoop <= 3.3.3

【安全版本】

  • Apache Hadoop >= 2.10.2

  • Apache Hadoop >= 3.2.4

  • Apache Hadoop >= 3.3.4(包含 YARN-11126)

Apache Hadoop YARN反序列化漏洞 (CVE-2021-25642)

Apache Hadoop YARN (Yet Another Resource Negotiator,另一种资源协调者)是一种新的 Hadoop 资源管理器,它是一个通用资源管理系统和调度平台。

影响范围

2.9.0 <= Apache Hadoop <= 2.10.1,3.0.0-alpha <= Apache Hadoop <= 3.2.3,3.3.0 <= Apache Hadoop <= 3.3.3


解决方案

修复建议

临时修复建议:

如果目前无法升级,若业务环境允许,使用白名单限制web端口的访问来降低风险。

通用修复建议:

官方已发布补丁修复漏洞,请及时下载更新,下载地址:

https://hadoop.apache.org/releases.html


原文始发于微信公众号(飓风网络安全):Apache Hadoop YARN反序列化漏洞 (CVE-2021-25642)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月29日20:29:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Apache Hadoop YARN反序列化漏洞 (CVE-2021-25642) http://cn-sec.com/archives/1262116.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: