阿里云
社区时光机
发表主题 回复主题
  • 4549阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-15718:Apache Hadoop YARN NodeManager信息泄露漏洞

级别: 论坛版主
发帖
221
云币
412
近日,Apache Hadoop 大数据平台的YARN NodeManager爆出信息泄露漏洞,CVE编号CVE-2017-15718,攻击者可能获得应用密码。受影响版本Apache Hadoop 2.7.3及2.7.4,之前为cve-2016-3086提供的安全性修复是不完整的。 /a{la8Ni  
V3&RJ k=b  
YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码本身不直接暴露,建议用户关注并开展查工作。 ). <-X^@  
WffQ:L?  
具体详情如下: fY{1F   

+9M^7/}H  
漏洞编号: Njxv4cc  
CVE-2017-15718 m4**~xfC  
漏洞名称: Z/W:97M  
Apache Hadoop YARN NodeManager信息泄露漏洞 t>L;kRujVJ  
官方评级: @P#N2:jwj  
高危 @3) (BpFe  
漏洞描述: | z9*GY6RU  
在Apache Hadoop 2.7.3及2.7.4,为cve-2016-3086提供的安全性修复是不完整的。 YARN NodeManager 泄漏凭证存储提供程序的密码,该凭据由nodemanager用于 YARN应用。如果你使用credentialprovider功能加密密码并应用于nodemanager配置,nodemanager启动的任何容器都有可能获取加密密码,其他密码不受影响。 FEW14 U'O  
漏洞利用条件和方式: ynq}76 H0k  
通过PoC直接远程利用。 b,5~b&<h  
PoC状态: /$i.0$L  
已公开 5y d MMb  
漏洞影响范围: 0pK=o"^?@  
Hadoop 2.7.3, 2.7.4 P Y_u/<u  
漏洞检测: -f3p U:G8  
开发人员检查是否使用了受影响版本范围内的Apache Hadoop版本。 o m^0}$V  
漏洞修复建议(或缓解措施): EMh7z7}Rr  
  • 目前官方已经发布安全版本,使用Apache Hadoop 2.7.3 和 2.7.4版本的用户请尽快升级2.7.5以上版本
  • 如果暂时无法升级,请设置的JCEKS文件权限,适当限制未经授权的用户访问。
;!=G   
提示:建议您在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 Ok|*!!T  
情报来源: "7 4-4  
tWJZoD6}h  
xR-%L  
[glLre^  
*M[?bk~~  
],>@";9u"  
]q;Emy  
N,`$M.|?  
&T+atL`N  
?5+.`L9H  
Umz KY  
Ar%%}Gx /  
f~t:L, \,  
~d o9;8v  
o@r7 n>G  
1A?W:'N  
18)'c?^.  
k|v3.< -  
^T( .k=  
",p;Sd  
:I"2V  
7P%%p3  
5Iy|BRU(%  
bH-ub2@qO  
q VjdOY:z  
fsmN)_T  
dl.N.P7}4  
z F_M*8=  
[ 此帖被正禾在2018-02-06 09:49重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个