Apache Hive 和 Apache Spark 中发现了一个新披露的漏洞CVE-2024-23945 ,CVSS 评分为 8.7,这两个系统被广泛用于大规模数据处理和分析。该漏洞影响CookieSigner机制,当消息验证失败时,它会暴露有效的 cookie 签名,从而带来重大安全风险。这种疏忽可能会让恶意行为者进一步利用该系统。
该漏洞位于 CookieSigner 组件中,该组件是用于保护 Cookie 完整性的安全功能。官方描述称:“签名 Cookie 是一种应用程序安全功能,它为 Cookie 数据添加数字签名以验证其真实性和完整性。”然而,在这种情况下,“当当前 Cookie 和预期 Cookie 的签名不匹配时,Apache Hive 的服务组件会意外地将签名的 Cookie 暴露给最终用户。”
即使验证失败,正确的 cookie 签名也会意外泄露,这为攻击者提供了宝贵的信息,可用于伪造有效的 cookie 并绕过安全措施。
该漏洞影响多种 Apache Hive 和 Spark 版本:
-
Apache Hive: 4.0.0 之前的 1.2.0
-
Apache Spark: 3.0.0 之前的 2.0.0、3.3.4 之前的 3.0.0、3.4.2 之前的 3.4.0 和 3.5.0
存在漏洞的组件包括 org.apache.hive:hive-service、org.apache.spark:spark-hive-thriftserver_2.11和org.apache.spark:spark-hive-thriftserver_2.12,广泛用于大数据处理和分析。
建议依赖 Apache Hive 或 Spark 的组织立即将其系统更新到最新修补版本。否则,它们可能会面临严重的安全漏洞。
原文始发于微信公众号(独眼情报):【漏洞预警】CVE-2024-23945:Apache Hive 和 Spark 中存在严重漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论