基本信息
风险等级: 高危
漏洞类型: 反序列化
漏洞编号:
CVE-2021-25642
漏洞描述
近日,飓风安全应急团队监测到Apache发布安全公告,修复了一个存在于Apache Hadoop YARN中的反序列化漏洞。Apache Hadoop YARN的CapacityScheduler可选地使用ZKConfigurationStore,它可在无需验证的情况下反序列化从ZooKeeper中获取的数据。能够访问ZooKeeper的攻击者可以利用该漏洞以YARN用户的身份运行任意命令。
【受影响版本】
-
2.9.0 <= Apache Hadoop <= 2.10.1
-
3.0.0-alpha <= Apache Hadoop <= 3.2.3
-
3.3.0 <= Apache Hadoop <= 3.3.3
【安全版本】
-
Apache Hadoop >= 2.10.2
-
Apache Hadoop >= 3.2.4
-
Apache Hadoop >= 3.3.4(包含 YARN-11126)
Apache Hadoop YARN (Yet Another Resource Negotiator,另一种资源协调者)是一种新的 Hadoop 资源管理器,它是一个通用资源管理系统和调度平台。
影响范围
2.9.0 <= Apache Hadoop <= 2.10.1,3.0.0-alpha <= Apache Hadoop <= 3.2.3,3.3.0 <= Apache Hadoop <= 3.3.3
解决方案
修复建议
临时修复建议:
如果目前无法升级,若业务环境允许,使用白名单限制web端口的访问来降低风险。
通用修复建议:
官方已发布补丁修复漏洞,请及时下载更新,下载地址:
https://hadoop.apache.org/releases.html
原文始发于微信公众号(飓风网络安全):Apache Hadoop YARN反序列化漏洞 (CVE-2021-25642)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论