Apache Hadoop潜在权限提升漏洞(CVE-2020-9492)

  • A+
所属分类:安全漏洞

0x00 漏洞概述

CVE   ID

CVE-2020-9492

时   间

2021-01-27

类   型

权限提升

等   级

高危

远程利用

影响范围


 

0x01 漏洞详情


Apache Hadoop潜在权限提升漏洞(CVE-2020-9492)


Apache Hadoop是一套用于由通用硬件构建的大型集群上运行应用程序的框架,它实现了Map/Reduce编程范型,计算任务会被多次分割成小块并运行在不同的节点上。除此之外,它还提供了一款分布式文件系统(HDFS),数据被存储在计算节点上以提供高效的跨数据中心聚合带宽。

2021年01月26日,Apache发布安全公告,公开了ApacheHadoop中一个潜在的权限提升漏洞(CVE-2020-9492)。

WebHDFS客户端可能会在没有适当验证的情况下将SPNEGO授权标头发送到远程URL,攻击者可以通过利用此漏洞将服务器凭证发送到webhdfs路径来获取服务主体。

 

影响范围

Apache Hadoop3.2.0-3.2.1

Apache Hadoop 3.0.0-alpha1-3.1.3

Apache Hadoop 2.0.0-alpha-2.10.0


 

0x02 处置建议

目前,该漏洞的补丁暂未发布,建议及时应用以下缓解措施。

缓解措施

设置不同的http签名机密,并使用专用主机进行每个权限模拟服务(如HiveServer2)。

升级到3.3.0、3.2.2、3.1.4、2.10.1或更新的TLS加密版本,启用并将dfs.http.policy配置为HTTPS_ONLY。

 

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%[email protected].com%3E

https://hadoop2help.blogspot.com/2021/01/cve-2020-9492-apache-hadoop-potential.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9492

 

0x04 时间线

2021-01-26  Apache发布安全公告

2021-01-27  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/


 

 


本文始发于微信公众号(维他命安全):Apache Hadoop潜在权限提升漏洞(CVE-2020-9492)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: