Apache Hadoop潜在权限提升漏洞（CVE-2020-9492）

2021年1月27日03:13:30评论166 views字数 1048阅读3分29秒阅读模式

0x00 漏洞概述

CVE ID	CVE-2020-9492	时间	2021-01-27
类型	权限提升	等级	高危
远程利用	是	影响范围

0x01 漏洞详情

Apache Hadoop潜在权限提升漏洞（CVE-2020-9492）

Apache Hadoop是一套用于由通用硬件构建的大型集群上运行应用程序的框架，它实现了Map/Reduce编程范型，计算任务会被多次分割成小块并运行在不同的节点上。除此之外，它还提供了一款分布式文件系统（HDFS），数据被存储在计算节点上以提供高效的跨数据中心聚合带宽。

2021年01月26日，Apache发布安全公告，公开了ApacheHadoop中一个潜在的权限提升漏洞（CVE-2020-9492）。

WebHDFS客户端可能会在没有适当验证的情况下将SPNEGO授权标头发送到远程URL，攻击者可以通过利用此漏洞将服务器凭证发送到webhdfs路径来获取服务主体。

影响范围

Apache Hadoop3.2.0-3.2.1

Apache Hadoop 3.0.0-alpha1-3.1.3

Apache Hadoop 2.0.0-alpha-2.10.0

0x02 处置建议

目前，该漏洞的补丁暂未发布，建议及时应用以下缓解措施。

缓解措施

设置不同的http签名机密，并使用专用主机进行每个权限模拟服务（如HiveServer2）。

升级到3.3.0、3.2.2、3.1.4、2.10.1或更新的TLS加密版本，启用并将dfs.http.policy配置为HTTPS_ONLY。

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%3CCAP+3qq6eDjjZG-G03RFRj9rrG4r1u=891UUEU2S8fbOCKTe4QA@mail.gmail.com%3E

https://hadoop2help.blogspot.com/2021/01/cve-2020-9492-apache-hadoop-potential.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9492

0x04 时间线

2021-01-26 Apache发布安全公告

2021-01-27 VSRC发布安全通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

本文始发于微信公众号（维他命安全）：Apache Hadoop潜在权限提升漏洞（CVE-2020-9492）

左青龙
微信扫一扫

右白虎
微信扫一扫

Apache Hadoop潜在权限提升漏洞（CVE-2020-9492）

0x00 漏洞概述

0x01 漏洞详情

0x02 处置建议

0x03 参考链接

0x04 时间线

0x05 附录

CVE-2024-32409 POC

【Weblogic 文件上传漏洞（CVE-2019-2618）

Weblogic 任意文件读取漏洞（CVE-2019-2615)

用友U8 slbmbygr.jsp 存在sql注入

Couchdb垂直权限绕过(CVE-2017-12635)

Couchdb任意命令执行漏洞 (CVE-2017-12636)

CVE-2022-22947-spring-gateway RCE

Weblogic 反序列化漏洞（CVE-2019-2729）

JumpServer 任意文件读取漏洞（CVE-2023-42819）

用友GPR-U8 slbmbygr SQL注入漏洞

发表评论

在线咨询

微信